4 Untersuchung der Asservate
4.2 Forensische Datenanalyse
4.2.2 Asservat 2 – Image virtueller PC
Das übergebene Image des Asservats 2 wurde auf einem schreibgeschützten Datenträger zu einem Forensik-Laptop transportiert, um es mit dem Programm AXIOM in der Version 5.2.0.25407 einzulesen und zu analysieren. Die Übergabe des Asservats erfolgte im Vier-Au-genprinzip und wird im Chain-of-custody-Formular (siehe Anlagen 6.1.2) dokumentiert. Beim Einlesen des Images in AXIOM werden alle Artefakte-Kategorien berücksichtigt.
4.2.2.1 Physische Medienanalyse
Die Seriennummer des Asservates 2 (B8908E9F) wurde im Abschnitt 2 zur weiteren Verwen-dung notiert. Im Rahmen der Medienanalyse wurden außerdem folgende Datenträgerinforma-tionen festgestellt
Information Wert
Gesamtkapazität (Bytes) 52424704 Zugeteilter Bereich (Bytes) 24805476 Nicht zugeteilter Bereich (Bytes) 24805376 Speichermediums-Offset (Bytes) 1048576
Cluster gesamt 12799
Freie Cluster 6065
Sektoren gesamt 102399
Startsektor 2048
Endsektor 104447
Bytes je Sektor 512
Sektoren je Cluster 8
Kontaktdaten IT-Forensik-Team: Ladies-Group Seite 14
4.2.2.2 Laufwerksanalyse
Bei der Untersuchung des logischen Aufbaus des Datenträgers wurden drei Partitionen auf dem Datenträger identifiziert (siehe Abbildung 3: Asservat 2 - Laufwerksanalyse).
Information Wert Bedeutung
Partition 1 (Microsoft NTFS, 50 MB) System-reserviert Systempartition,
Partition 2 (Microsoft NTFS, 49,45 GB) Windows Betriebssystem und Nutzerdaten, Partition 3 (Microsoft NTFS, 515 MB) Windows Recovery
Tabelle 14: Asservat 2 - Daten aus Laufwerksanalyse
Die interessante Partition ist Partition 2. Hier befinden sich die Dateien des Betriebssystems und das Profil des Benutzers VictimClient.
4.2.2.3 Dateisystemanalyse
Auf der Partition 2 befinden sich Daten eines zu analysierenden Windows-10-Betriebssystems mit dem Datenformat NTFS. Jede Datei hat einen Zeitstempel und eine physikalische Adresse.
Die Dateisystemanalyse dient dem Rekonstruieren der Vorgänge ohne Zugriff auf das eigentli-che Betriebssystem.
Um die Semantik des möglichen Angriffes und der daraus folgenden Datenmanipulation zu er-kennen, wird zunächst gefiltert auf die Daten des Dateisystems, die zeitlich für die Untersu-chung relevant sind.
Dazu wird im „Axiom Examine“ und die Zeitleiste für den Zeitraum vom 15.05.2021 bis 21.06.2021 dargestellt. Als Beweise enthalten ist das Image des Opfer-PCs Asservat 2 und zur Ergänzung das Image des Asservats 1 (USB-Stick), wobei in diesem Abschnitt nur die Untersu-chung des Asservats 2 beschrieben wird. Es werden alle Artefakte ausgewählt und weiterhin Anwendungsnutzung, aus Dateisystem gekennzeichnet, Betriebssystem, Dokumente, Kommu-nikation, Medien, verbunden Geräte, Verschlüsselung und Zugangsdaten.
Fragestellung 1:
Bekannt ist aus der Analyse des Asservats 1, dass sich auf dem USB-Stick, den Max Muster-mann nutzt, ein Skript „Virtuelles Laufwerk.bat“ befindet, das potenziellen Schadcode enthält.
Deshalb wird im ersten Schritt der Dateisystemanalyse geprüft, ob der USB-Stick mit dem virtu-ellen PC verbunden war und ob das Skript „Virtuelle Laufwerke.bat“ vom USB-Stick (Asservat 1) auf den virtuellen PC (Asservat 2) übertragen wurde.
Ergebnisse:
Es konnte nachgewiesen werden, dass der USB-Stick (Asservat 1) mit dem virtuellen PC ver-bunden (Abbildung 20) und die Datei „Virtuelles Laufwerk.bat“ auf dem virtuellen PC (Asservat 2) im Pfad C:\Users\VictimClient\FÜr EIgene Unterlagen\Wissen\Hilfsskripte gespeichert wurde (Abbildung 21 und Abbildung 22).
USB Geräte USB Device
Anzahl Zeit-stempel
Zeitstempel Abbildung
Zu findende Seriennum-mer: AA3CBDEF
Seriennummer:
9207135273186951462&0
5 Installationszeitraum:
18.05.2021 10:08:09
Zuletzt verbunden:
18.05.2021 10:08:12 Datum der ersten Verbin-dung:
2021-05-18 10:08:11 Datum der ersten Installa-tion:
18.05.2021 10:08:09 Zuletzt eingefügt:
18.05.2021 10:08:09 Zuletzt gelöscht:
18.05.2021 10:31:48
Abbildung 20: Asservat 2 - USB-Stick angeschlossen
Tabelle 15: Asservat 2 - Zeitstempel der Datei "Virtuelles Laufwerk.bat"
Kontaktdaten IT-Forensik-Team: Ladies-Group Seite 16
Fragestellung 2:
Wurde das Skript „Virtuelles Laufwerk.bat“ nach dem Speichern auf dem virtuellen PC ausge-führt?
Ergebnis:
Die Ermittlung der Zeitstempel der Ausführung der Dateien „Virtuelles Laufwerk.bat“ für den zu untersuchenden Zeitraum ergab, dass das Skript und damit der potenzielle Schadcode auf dem virtuellen PC ausgeführt wurde (Abbildung 23, Abbildung 24, Abbildung 25).
Kategorie Artefakt-Bezeichner Beschreibung
Batch-Da-teien (*.bat) Virtuelles Lauf-werk.bat – MFT-58973
C:\Users\VictimClient\FÜr EIgene Unterlagen\Wis-sen\Hilfsskripte\Virtuelles Laufwerk.bat
Virtuelles
Laufwerk.bat – MFT- 81950
C:\Users\VictimClient\ServiceA\Organisatorisches\virtu-elles laufwerk.bat
virtuelles laufwerk - Verknüpfung.lnk-MFT- 98730
Users\VictimClient\AppData\Roaming\Microsoft\Win-dows\Start Menu\Programs\Startup\virtuelles laufwerk - Verknüpfung.lnk
virtuelles laufwerk.bat Windows-Batchdatei
\Users\VictimClient\ServiceA\Organisatorisches\virtuelles laufwerk.bat
Tabelle 16: Asservat 2 – Artefakte zu "Virtuelles Laufwerk.bat"
Fragestellung 3:
Wurde der potenzielle Schadcode (vor allem die Datei „evil.exe“) des Skripts „Virtuelles Lauf-werk.bat“ auf dem virtuellen PC (Asservat 2) gespeichert und ausgeführt?
Ergebnisse:
Auf Asservat 1 wurde die Datei „Virtuelles Laufwerk.bat“ am 18.05.2021 08:10:21 Uhr MESZ erstellt, d. h. die Untersuchung des Asservats 2 kann sich auf diesen Zeitraum beschrän-ken.
Die Analyse des Dateiinhaltes im Kapitel Dateisystemanalyse zu Asservat 1 ergab, dass bei Aus-führung der Batch-Datei eine Datei mit Namen „evil.exe“ in den Startup-Ordner des Benut-zers VictimClient kopiert werden soll.
Deshalb wurde zunächst geprüft, ob die Datei „evil.exe“ auf dem Asservat 2 gespeichert ist.
Die Suche in AXIOM nach “evil.exe”, d. h. nach Angaben dazu, ob, wann und wo die Datei ge-speichert und ob diese auch ausgeführt wurde, verlief positiv. Alle Ereignisse, die 2 Minuten nach oder vor dem Speichern oder Ausführen festgestellt werden konnten, wurden in den Suchvorgang einbezogen.
Es konnte festgestellt werden, dass die Datei „evil.exe“ auf dem virtuellen PC (Asservat 2) im Autostart-Ordner des Benutzers „VictimClient“ gespeichert wurde (Abbildung 26). Darüber hin-aus wurden eine Reihe weiterer Dateien auf dem System mit identischer MFT-Record-Nummer identifiziert, d. h. die Datei evil.exe wurde mehrfach umbenannt, wie folgender Tabelle zu ent-nehmen ist.
Ausführbare Dateien (*.exe)
Artefakt Bezeichner Abbildung
evil.exe evil.exe- MFT-1215
devil.exe.exe-MFT-1215 Happylittletrees.exe-MFT-1215 devil.exe-MFT-1215
Happylittletree.exe-MFT-1215
Abbildung 34: Asservat 2 - Umbe-nennungen zu devil.exe
evil.exe- MFT-98504 Devil.exe Devil.exe- MFT-79828
Devil.exe- MFT-95964 Devil.exe- MFT-79831 Devil.exe- MFT-1215 Devil.exe- MFT-98545 Devil.exe- MFT- 98573 Devil.exe- MFT- 98582 Devil.exe- MFT- 98610
Fehler! Verweisquelle konnte n icht gefunden werden.
Kontaktdaten IT-Forensik-Team: Ladies-Group Seite 18
Darüber hinaus konnte festgestellt werden, dass die Datei „evil.exe“ auf dem virtuellen PC aus-geführt wurde (Abbildung 27).
4.2.2.3.1 Suche nach relevanten Windows-Ereignissen
Da sowohl das Skript „Virtuelles Laufwerk.bat“ als auch der Payload, der durch das Skript auf dem virtuellen PC abgelegt wird, im Autostart-Ordner des Benutzers „VictimClient“ abgelegt wird, wurde nun analysiert, welche Benutzerkonten sich wann am System angemeldet haben.
Ebenso wurde geprüft, ob der auf dem virtuellen PC installierte windowseigene Standard-Vi-renscanner (Windows Defender) Ereignisse ausgelöst hat, die die Ausführung potenziellen Schadcodes anzeigen.
Hierzu wurden die Windows-Ereignis-IDs ausgewertet und je eine Kurzbezeichnung generiert, die in der weiteren Analyse verwendet wird:
Ereignis-ID Artefakt Bez-eichner
Ereignisbeschreibung Quelle
4624 K4624
Anmeldetyp:
2 Interactive S-1-5-18 VictimClient
Dieses Ereignis generiert, wenn eine Anmeldesitzung erstellt wird (auf dem Zielcomputer). Es wird auf dem Computer generiert, auf den zugegriffen wurde, auf dem die Sit-zung erstellt wurde.
Ein Benutzer, der sich bei diesem Computer angemeldet hat.
Ein Dienst wurde vom Dienststeue-rungs-Manager gestartet.
Ein Servicekonto hat sich ange-meldet
System is a hidden member of Administrators. That is, any pro-cess running as
https://docs.microsoft.com/en- us/windows/security/identity- protection/access-control/secu-rity-identifiers
System has the SID for the built-in
Administrators group in its ac-cess token.
4648 K4648
S-1-5-18
Tritt auf, wenn ein Prozess ausge-führt wird und als “Special Logon”
Am meisten bei Ausführuing als batch-type als geplanter Ausfüh-rung als “RUNAS” Kommando.
https://docs.microsoft.com/de- de/windows/security/threat-pro-tection/auditing/event-4648)
Windows Defender Ereignisse:
Ereignis-ID Artefakt Bez-eichner
Ereignisbeschreibung Quelle
1116 EID1116 Die Antischadsoftwareplattform hat Schadsoftware oder andere po-tenziell unerwünschte Software er-kannt.
Microsoft Defender AV-Ereignis-IDs und Fehlercodes | Microsoft Docs
1117 EID1117 Die Antischadsoftwareplattform hat eine Aktion ausgeführt, um Ihr System vor Schadsoftware oder an-derer potenziell unerwünschter Software zu schützen.
Microsoft Defender AV-Ereignis-IDs und Fehlercodes | Microsoft Docs
Tabelle 18: Asservat 2 - relevante Windows-Ereignisse
4.2.2.3.2 Suche nach relevanten Dateien und Ordnern
Aus der Auftragsspezifikation ist bekannt, dass Dateien im Ordner „Für EIgene Unterlagen“, speziell die Datei „Kundenliste.ods“ nicht mehr auffindbar sind. Deshalb wurde nach diesen ge-sucht und die MFT-Recordnummer notiert:
Datei oder Ordner Artefakt Bezeichner
Für EIgene Unterlagen Ordner1-MFT-126990
Für EIgene Unterlagen Ordner1-MFT-98721
Kundenliste.ods Datei1-MFT-95085
Datei1-MFT-79375 Datei1-MFT-95780
Kontaktdaten IT-Forensik-Team: Ladies-Group Seite 20