In Sammlung (en) In der gespeicherten
  1. Wissenschaft
  2. Gesundheitswissenschaft
  3. Infektionskrankheit

Forensik in der Praxis

Werbung 
Wolfgang Straßer
Geschäftsführer
@-yet GmbH
Forensik in der Praxis
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de


Juni 2002 gegründet
Sitz: Leichlingen/Rheinland

IT-Strategie- und Technologieberatung



IT-RESULTING IM FOKUS
Firmenportrait
kein HW- oder SW-Vertrieb
Beratungsschwerpunkte

IT-Risikomanagement

IT-Outsourcing
Zielgruppe:

add-yet GmbH
Mittelständische bis große Organisationen
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
2
IT und Risikomanagement


IT-RESULTING IM FOKUS
Aufgaben von IT Risikomanagement:
Schutz vor Verlust von

Know-how und

Wertschöpfung
Schutz vor Risiken, die sich

vertraglich

gesetzlich
aus der IT ergeben können.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
3
IT und Risikomanagement



Business Continuity
Business Security
Business Compliance

IT-Forensik
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS
Elemente von IT-Risikomanagement
4

Firmennetzwerke sind komplexe Gebilde.


es ist nahezu unmöglich, keine Spuren zu hinterlassen
es ist ebenfalls möglich, alles zu fälschen.

Die Kunst ist es, echte Spuren von falschen zu
unterscheiden

Nicht alle Informationen werden anerkannt.

Der kleinste Fehler kann die gewonnenen Informationen in
ihrer Verwertbarkeit beeinträchtigen

add-yet GmbH
leicht kann man unbeabsichtigt Spuren zerstören
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
5
IT-RESULTING IM FOKUS
Forensik
IT-RESULTING IM FOKUS
 Der Fall
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
6
 Kunde:

Internationaler Konzern – im DAX gelistet

innovativen Entwicklungen/ Know-How getrieben

Umgang mit Gefahrengüter

mehrere zig-tausende Mitarbeiter
 Mail von Sicherheitsfirma im Ausland
add-yet GmbH

Malware mit „Zugangsdaten“ des Kunden gefunden

Benutzername passt zu einem „Administrator“

Proxy-IP fest einprogrammiert
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
7
IT-RESULTING IM FOKUS
Ausgangslage APT
Was ist
tatsächlich
passiert?
Kann ich es mir
Leisten nicht zu
reagieren?
Unlautere
Akquise?
Erpressung?
InhouseErmittlungen vs.
unabhängige
Experten?
Was ist betroffen?
Kommunikation?
add-yet GmbH
IT-RESULTING IM FOKUS
Reaktion: Ja? Nein? Wie?
Wieviel kostet es,
wenn da nichts
war?
Wem kann
man trauen?
Schloß Eicherhof D-42799 Leichlingen
Ist da was
dran?
www.add-yet.de
8
Kontakt-Aufnahme Forensik Team-@-yet
add-yet GmbH

Sofortige Reaktion
 Geschwindigkeit ist essentiell

Sammeln der Fakten

Erste Analyse um Problem zu
bewerten

Anfrage weiterer Informationen
bei Sicherheitsfirma

Einschalten des Verfassungsschutz
(Spionage-Abwehr)
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS
 Empfehlungen:
9
Erstes Meeting beim Kunden (2. Tag)
IT-RESULTING IM FOKUS
Das Team:
 Konzern-Sicherheit
 IT-Sicherheit (CISO)
 Konzern-Legal (Datenschutz+Jurist)
 IT-Infrastruktur und -Betrieb
Interessenskonflikt:


Vorgesetzter des Administrators

Verantwortlich für aktuelle IT-Lage
 IT-Administrator
Interessenskonflikt:


Kollege des betroffenen Administrators
 Verfassungsschutz

(Initial und später punktuelle Unterstützung)
 @-yet GmbH
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
10
Erste Informationen

IT-RESULTING IM FOKUS
 Kopie der Schadsoftware
Ausl. Sicherheitsfirma kooperiert
(ohne nach Geld zu fragen)
 Malware: C&C-Server mit Kundennamen im
Domänennamen

Internet-Suche „Kundennamen“ + Malware

Sample konnte aus Malware-Datenbank bezogen werden
 Sicherung Logs (umgehende Sicherung empfohlen)
add-yet GmbH

Anti-Virus

Firewall

VPN

Active-Directory

…
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
11

Noch keine Hinweise im Konzern-Netz

2 unterschiedliche Schadcodes identifiziert


Evtl. unabhängig

Keines wurde auf Kundensystemen gefunden

Antivirus-Erkennung: 0/54 auf Virustotal
Es hat auf jeden Fall einen Sicherheitsvorfall gegeben
add-yet GmbH

Benutzername und Proxy sind nach Außen gelangt

rechtfertigt Ermittlungen
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
12
IT-RESULTING IM FOKUS
Zwischenstand - Ausgangslage
Vorgehen


IT-RESULTING IM FOKUS
 Mehrere Tracks:
Malware-Analyse

Merkmale infizierter Systeme identifizieren

Tathergang aufklären
Sichtung Logs

Allgemeine Suche nach Spuren

Gezielte Suche nach aus Malware identifizierten
Merkmalen

Analyse Festplatten identifizierter Systeme
(forensische Sicherung der Platten)
add-yet GmbH

Prüfen von „Kernkomponenten“ auf Manipulation

Background-Informationen
(Domänen C&C-Server, Domänen-Inhaber, …)
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
13
 Proxy-Logs

Täglich Gigabytes – Kommunikation mit bekanntem
C&C-Server geblockt, soweit die Logs zurückgehen

Ca. 15 Rechner betroffen
(mehrere Admin-Rechner/ Server)
 Virenscanner
 Teilweise Infektionen erkannt, die nicht bereinigt
werden konnten
 Rechner Administrator (keine Infektion)
add-yet GmbH

Nutzung erst seit ca. 1 Monat

davor anderes Notebook, alte Platte existiert noch
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
14
IT-RESULTING IM FOKUS
Nachweis von Infektionen
Analyse der Notebooks(1)
IT-RESULTING IM FOKUS
 Identifikation der für Datenverkehr verantwortlichen
Malware
 Live-Analyse von Kopien in virtuellen Umgebungen
 Time-Line
add-yet GmbH

Priorität um bekannte Zeitpunkte

Zeit von Infektion bis jetzt

Zeit vor Infektion
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
15
Analyse der Notebooks(2)
IT-RESULTING IM FOKUS
 Analyse gelöschte Dateien
 Analyse Logs
 Aufstellen von Vermutungen aus Analyse-Daten
(Nachweis erfolgt später)
 Analyse der Historie für den Infektionszeitpunkt
 Zurückverfolgen des Infektionswegs
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
16

Infektion bereits vor 3 Monaten

Infektionen erfolgen in sehr kurzem Abstand

Zustand der Spuren sehr unterschiedlich

Teilweise nur punktuell rekonstruierbar

Manipulation lokaler Zertifikats und Schlüssel-Speicher

Austausch von Windows-DLLs gegen alte Originale
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
17
IT-RESULTING IM FOKUS
Ergebnisse – Notebook-Analyse(1)

Downgrade von Sicherheitsmaßnahmen

Auf den Systemen wurden zahlreiche Tools aufgebracht


Standard Administrationstools

Netzwerk-Scanner (Ports / Fileshares)

Password-Dumper (RAM/ Domäne)
Zugriff per Remote-Desktop auf diverse Systeme
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
18
IT-RESULTING IM FOKUS
Ergebnisse – Notebook-Analyse(2)
 Jailbreak-Tool für Android-Smartphone auf
Administrator-Notebook
add-yet GmbH

Zeitstempel passt zum Angriff

Administrator hat sein privates Smartphone mit
Firmennotebook verbunden

Angebl. kein bewusstes Rooten des Gerätes

Das Geräte wurde nicht zur Analyse bereitgestellt
(Privatgerät)

Laut Synchronisationslog besteht der Verdacht, dass
eine Spy-App installiert wurde
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
19
IT-RESULTING IM FOKUS
Ergebnisse – das Smartphone
 Gezielte Email an ca. 20 ausgewählte Personen
 Waterhole/Spearphishing
 Drive-By-Download auf „vertrauenswürdiger“ Webseite
(Schadsoftware wenige Minuten vor Erstinfektion hochgeladen)
 Installation Malware (Analyse Systemkonfiguration,
Download Malware)
 Kontroll-Malware (Remote-Shell / Upload /Download)
 Upload von Tools
 Interaktive Zugriffe
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
20
IT-RESULTING IM FOKUS
Angriffsweg
Zwischenbilanz
Passwörter mehrerer Administratoren kompromittiert
3 Monate voller Zugriff
Systemsicherheit gesenkt
Passwort-Dumper gefunden
Modifiziertes Mimikatz gefunden
(Golden-Ticket-Funktion)
 Komplette Netz-Übersichten
 Zugriff auf mehrere zentrale Server nachweisbar
 Verdacht auf Infektion von privaten Smartphone
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
IT-RESULTING IM FOKUS





21
Reaktion des Kunden
IT-RESULTING IM FOKUS
Kunde schließt entgegen jeglicher Anzeichen folgende
Zugriffe, auf Grund der theoretischen Folgen aus:
 Active-Directory-Passwörter
 Produktion
 Gefahrengüter
Einer Überprüfung der Systeme wird auf drängen @-yet
zugestimmt.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
22
 Es wurden in allen kritischen Systemen Schwachstellen
identifiziert, über die ein Zugriff möglich gewesen wäre
 Auf einzelnen Systemen aller 3 Sicherheitsbereiche
wurden tatsächliche Anhaltspunkte für einen nicht
autorisierten Remote-Zugriff identifiziert
 Bei anderen Systemen waren auf Grund mangelnder
Spuren keine Analysen mehr möglich
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
23
IT-RESULTING IM FOKUS
Ergebnis der Überprüfung
 Logs wurden nicht oder erst spät geliefert

Logs nur vereinzelt verfügbar / nach Tagen

Teilweise nur wenige Minuten
 Es stehen keine Austausch-PCs zur Verfügung

Infizierte Rechner bleiben noch ca. 1 Woche in Betrieb

Benutzer werden über Infektion nicht informiert

Infizierte Platten wurden nach dem Anfertigen von Kopien
ohne Bereinigung trotz Warnung an die Mitarbeiter
zurückgegeben
 Falsche PCs werden geliefert
 Alternative Internet-Zugänge wurden verschwiegen
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
24
IT-RESULTING IM FOKUS
Erschwernisse (1)
Erschwernisse (2)

Administrator wird informiert

2 Stunden später wird die alte Festplatte geliefert
IT-RESULTING IM FOKUS
 Altes Notebook des Administrators
Forensische Rekonstruktion:
Letzte Aktion: 10 Minuten vor Übergabe wurden Programme,
Filme, Serien und Musik gelöscht
 IT-Verantwortlicher erschwert Analysen, um ggf.
Versäumnisse zu vertuschen
 Keine funktionierende IS-Organisation
 Kennwort-Änderungen waren systematisch
(neues Kennwort ableitbar)
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
25
IT-Verantwortlicher unterstellt Inkompetenz, fehlende
Warnungen beim Weiterbetrieb infizierter Systeme
 Sämtliche Verzögerungen, Aktionen, Warnungen und
Zwischenstände sind dokumentiert
 Die Vorgehensweise und Ergebnisse konnten auf Grund
lückenloser Dokumentation durch unabhängige
Sachverständige nachvollzogen werden
Bei Forensiken wird man schnell von der Rolle
des Analysten/Geschädigten zum Angeklagten
gemacht. Daher ist lückenlos dokumentieren Pflicht.
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
26
IT-RESULTING IM FOKUS
Vorwürfe
Herzlichen Dank für Ihre
Aufmerksamkeit!
Ihre Fragen bitte…
Wolfgang Straßer
[email protected]
add-yet GmbH
Schloß Eicherhof D-42799 Leichlingen
www.add-yet.de
Zugehörige Unterlagen
Nahrungsmittelintoleranzen – wenn Essen die Haut reizt
Nahrungsmittelintoleranzen – wenn Essen die Haut reizt
Schilddrüsenerkrankungen und Ihre Behandlung aus
Schilddrüsenerkrankungen und Ihre Behandlung aus
pdf formular für die österreich reiseplanung
pdf formular für die österreich reiseplanung
2 Tage oder länger das Jahr Revue passieren
2 Tage oder länger das Jahr Revue passieren
2. Neujahrsmarkt Schloß Schönbrunn 28. Dezember 2011 bis 1
2. Neujahrsmarkt Schloß Schönbrunn 28. Dezember 2011 bis 1
Schloß Holte-Stukenbrock SHS
Schloß Holte-Stukenbrock SHS
Die Barriere schützen – Hautpflege bei Pilzinfektionen
Die Barriere schützen – Hautpflege bei Pilzinfektionen
19. Kultur- und Weihnachtsmarkt und 3. Neujahrsmarkt Schloß
19. Kultur- und Weihnachtsmarkt und 3. Neujahrsmarkt Schloß
Franziska Staubach und Yizhuo Meng
Franziska Staubach und Yizhuo Meng
Lichtgeschädigte Haut: Sonnenbad - das hilft danach
Lichtgeschädigte Haut: Sonnenbad - das hilft danach
17_07_2014 Zorro - Deutsche Uraufführung[...]
17_07_2014 Zorro - Deutsche Uraufführung[...]
Biographie - Emmanuel Walderdorff Galerie
Biographie - Emmanuel Walderdorff Galerie
Herunterladen
Werbung