Seite 3: Fleißarbeit

Inhaltsverzeichnis

Fleißarbeit

Am nächsten Morgen notiere ich als Erstes den Hash-Wert von Platte und Abbild im Protokoll des Falls – Ordnung … ;-) Alle weiteren Untersuchungen finden mit den Images statt; die Platten landen im Tresor. X-Ways Forensics zeigt mir den Inhalt in einem Explorer-ähnlichen Fenster. Über ein Plug-in kann ich den Inhalt der gängigen Dateitypen in einer Vorschauansicht betrachten. Bei der Auswertung von Bildersammlungen hilft eine Galerieansicht.

Ich muss nun klären, ob die Workstation von Herrn Steinbach kompromittiert wurde und als Sprungbrett für den Angreifer diente, oder ob Herr Steinbach selbst auf dem fremden Rechner rumgestöbert hat. Zuerst möchte ich ein Gefühl dafür bekommen, wie Herr Steinbach sein Arbeitsgerät einsetzt: Mit welchen Programmen er arbeitet, auf welchen Webseiten er  Informationen recherchiert, auf welchen Fileservern er seine Dokumente ablegt und so weiter.

Dabei helfen mir die Versuche von Windows, dem Benutzer das Arbeiten möglichst bequem zu machen. So merkt sich der Explorer, auf welche Dateien und Programme der Anwender zugreift in sogenannten "Most Recently Used"-Listen. Dabei speichert er für jede Dateiendung die letzten zehn Dateien; das liefert mir also zehn DOCs, zehn PDFs, zehn JPGs und wenn es JPEGs gab, dann davon auch zehn. Diese Informationen stehen unter anderem an Stellen wie Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs in der Registry. 

Weitere Informationen finden sich oft im Registry-Zweig UserAssist. Klickt ein Anwender etwa auf eine Datei mit der Endung .txt, merkt sich Windows dort, dass es bei diesem Anlass das Programm Notepad gestartet hat. Diese Einträge bleiben auch nach der Deinstallation eines Programms erhalten und anhand des Laufwerksbuchstabens lässt sich erkennen, ob das Programm von einem externen Datenträger oder der lokalen Platte geladen wurde. Wer mit einer umfangreichen Softwaresammlung arbeitet, hat schnell ein paar hundert Einträge in dem Schlüssel.

Ich muss unwillkürlich lächeln, bei der Erinnerung an die gewonnene Wette mit einem neunmalklugen Kollegen, der mir partout nicht glauben wollte, dass Windows tatsächlich ROT13-Verschlüsselung einsetzt. Diese  Primitivverschlüsselung ersetzt jeden Buchstaben des Alphabets durch den, der 13 Stellen weiter hinten steht und fängt dabei nach Z wieder bei A an. Wahrscheinlich haben sich da ein paar Windows-Entwickler einen Spaß erlaubt; Forensik-Tools zeigen natürlich gleich den Klartext an. 

In einem weiteren Teil der Registry finden sich die sogenannten Bags, in denen Windows spezielle Ansichtsoptionen für Verzeichnisse speichert; etwa das Sortierkriterium oder die Ansicht als Icon oder als Liste. Diese Verzeichnisliste gibt nützliche Hinweise auf die Verwendung externer Festplatten oder USB-Sticks.

Diese Liste möglicher Indizien ließe sich fast endlos fortsetzen. Erschwerend kommt hinzu, dass die Registry auf der Festplatte über mehrere Dateien verstreut ist. Zum Glück nimmt mir X-Ways die Arbeit ab, das alles einzeln zusammenzusuchen und erstellt einen Bericht über den Registry-Inhalt des einzigen Benutzerkontos und der systemweiten Hives SYSTEM und SOFTWARE.

Herr Steinbachs Spuren im Registry-Dschungel sind sehr aufschlussreich, denn einige Dateien passen nicht zu einem Sysadmin: Da findet sich etwa eine Gehaltsliste, zwei Zeugnisse von ausgeschiedenen Mitarbeitern und Beurteilungsbögen. Alle Dateien liegen in einem Unterordner des Benutzerprofils. Dieser Ordner enthält ein wahres Sammelsurium. Neben den bereits erwähnten Personaldaten finde ich ein Organigramm, eine Telefonliste, einige Fotos, die augenscheinlich auf einer Betriebsfeier aufgenommen wurden und diverse Briefe. 

Allerdings zeigen mir diese Dateien auch wieder sehr eindrucksvoll die Grenzen meiner Möglichkeiten auf. Ich kann zwar Dateien aufspüren, um ihre Bedeutung korrekt zu interpretieren, fehlt mir der Kontext. Also wende ich mich an Herrn Waldmann, der mir bestätigt, dass Herr Steinbach ausschließlich für die Betreuung bestimmter Server zuständig und nicht mit Führungsaufgaben betraut ist. Die Personaldaten gehören definitiv nicht auf diesen Rechner; besonders hellhörig wird er bei dem Organigramm, das sich als vertrauliches Dokument aus der Führungsetage entpuppt. Es bleibt allerdings immer noch möglich, dass Herr Steinbach etwa einem Kollegen geholfen hat, Daten von einem wiederborstigen USB-Stick zu retten. Eine Frage, die wir später in einem persönlichen Gespräch klären müssen.

Zeitstempel

Doch vorher werde ich mir einen Überblick zum zeitlichen Verlauf von Herrn Steinbachs Aktivitäten verschaffen. Die Master File Table enthält für jede Datei in einem NTFS-Dateisystem einen Eintrag, der neben Meta-Informationen wie den Zugriffsrechten auch diverse Zeitstempel enthält. Schon auf einem wenig gebrauchten Rechner finden sich weit über 10ˇ000 Einträge in dieser MFT. Wer seine Musiksammlung dort deponiert, bringt es oft auf mehrere hunderttausend.

Windows pflegt für jede Datei vier Zeitstempel; nur drei davon zeigen Windows Explorer und der DIR-Befehl: Die Zeiten zu denen die Datei erzeugt oder verändert wurde sowie das Datum des letzten Zugriffs. Entsprechend den englischen Begriffen Modification, Access und Creation werden diese Zeitstempel gerne als „MAC-Times“ bezeichnet. Wahrscheinlich aus Performancegründen schreibt Windows seit Vista die Zugriffszeit nicht mehr; ein Verhalten, das man über das Kommandozeilenprogramm fsutil auch bei älteren Windows Versionen einstellen kann. Als vierten Zeitstempel merkt sich NTFS den Zeitpunkt, zu dem der MFT-Eintrag verändert wurde. Das geschieht etwa, wenn die Datei um einen weiteren Cluster (im Microsoft-Deutsch eine „Zuordnungseinheit“) verlängert wird.

Zum Glück bietet X-Ways mehrere Funktionen, die riesigen Datenmengen zu bewältigen. Mit Filtern kann ich mich auf einen bestimmten Zeitraum, einen Dateityp oder eine Dateigröße konzentrieren. Für Fälle, in denen ein Schlaumeier die Dateiendung verändert – etwa indem er ein Zip-Archiv als ausführbare Datei tarnt – kann das Tool die Datei-Signatur prüfen. Ein Zip-Archiv beginnt immer mit den zwei Buchstaben „PK“, ein ausführbares Programm mit „MZ“. X-Ways liefert über 160 Signaturen für weit verbreitete Dateitypen. Wenn in einem Fall exotische Dateitypen behandelt werden, hilft mir das kostenlose Programm TrID von Marco Pontello weiter.

Inzwischen neigt sich der zweite Analysetag dem Ende zu und ich spreche mich mit Herrn Waldmann ab, dass der Abgleich der Dateitypen unbeaufsichtigt abläuft. Wir schließen unser Besprechungsraum-Labor ab und vertagen uns auf den nächsten Tag.