Tool entCOFEEiniert Windows-Rechner

Hacker haben das Tool Decaf veröffentlicht, das Microsofts "Computer Online Forensic Evidence Extractor" (COFEE) die Arbeit erschweren soll. COFEE wurde für Strafverfolgungsbehörden entwickelt und sammelt im Wesentlichen systemweit Informationen über den untersuchten PC. Nach dem Anstecken eines mit COFEE ausgestatteten USB-Sticks startet der Scan-Vorgang automatisch, am Ende erstellt COFEE einen Report. Mitte November gelangte das eigentlich nur für Ermittlungsbehörden vorgesehene Tool an die Öffentlichkeit.

Decaf versucht zu erkennen, ob ein COFEE-Stick angeschlossen wurde und startet gegebenenfalls Gegenmaßnahmen. Unter anderem soll Decaf den USB-Stick automatisch wieder auswerfen können sowie vorher definierte Prozesse schnell beenden. Darüber hinaus löscht Decaf bei Bedarf Log-Dateien, die Surf-History, Cookies und den Browser-Cache – sogar ganze Verzeichnisse verspricht Decaf im "Angriffsfall" zu löschen. Zudem soll es Torrent-Clients wie Azureus automatisch deinstallieren können, wenn es COFEE-Aktivitäten im System entdeckt. Das Tool soll die MAC-Adresse des Rechners spoofen können.

Für seine Arbeit macht sich das nur 181 KByte große Decaf allerdings das standardmäßig nicht in Windows enthaltene Microsoft-Tool devcon.exe zunutze, das eine Art Gerätemanager für die Eingabeaufforderung darstellt. Wer hinter Decaf steckt, ist nicht genau bekannt. Möglicherweise handelt es sich um Entwickler, die selbst an Forensik-Tools arbeiten und denen COFEE ein Dorn im Auge ist. Gegenüber britischen Medien sollen die Decaf-Entwickler als Motivation angegeben haben, Ermittlungsbehörden zeigen zu wollen, dass es keine gute Idee ist, sich auf Microsofts Toolsammlung allein zu verlassen.

Siehe dazu auch:

• Ein Blick auf Microsofts entwischte Forensik-Tool-Sammlung
• Microsoft stellt Ermittlern forensisches Tool zur Verfügung

(dab)