Tatort Internet: Ferngesteuert
Seite 4: Aufräumarbeiten
Aufräumarbeiten
Der Morgen beginnt mit einer kleinen Enttäuschung: Der Abgleich der Dateisignaturen hat keine neuen Erkenntnisse gebracht. Also werd ich mich an die installierten Programme machen. Herr Waldmann will sich sofort auf den Programmordner stürzen. Doch ich mache ihm klar, dass wir das hier nach meinen Regeln durchziehen – also mit Ordnung und Systematik. Sonst hätte er das gleich selbst erledigen können – um dann womöglich bei einem Prozess mit fliegenden Fahnen unterzugehen.
Da das Notebook über einen Deployment-Server aufgesetzt wurde, lasse ich mir also vom zähneknirschenden Sicherheitsbeauftragten zunächst als Referenzsystem ein frisch installiertes Notebook vom gleichen Typ wie das Arbeitsgerät von Herrn Steinbach organisieren.
Nach einer gründlichen, manuellen Untersuchung ohne Befund arbeite ich mit der Annahme, dass der Rechner virenfrei ist, notiere mir aber im Hinterkopf, dass hier immer noch ein bisher unbekanntes Rootkit am Werk sein kann. Mit wenigen Mausklicks erstelle ich anhand des Referenz-PC eine Hash-Tabelle über alle ausführbaren Programme, also Exe-Dateien, DLLs, Treiber etc. Anschließend gleiche ich die Hash-Werte mit dem Abbild der Festplatte von Herrn Steinbach ab und markiere alle bekannten Programmdateien als irrelevant.
Die verbliebenen Programmdateien bilden eine überschaubare Menge, aus der ein Produkt besonders hervorsticht: VNC, das Programm zur Fernsteuerung von Rechnern, das wir schon auf dem Geister-PC gefunden haben. Besonders interessant: PushVNC.exe, das mit ausreichenden administrativen Rechten den VNC-Dienst auf einem fremden Rechner installieren kann, ohne dass ein Icon im Systemtray erscheint.
Die Puzzleteile fügen sich zu einem Bild. Herr Steinbach hat also auf dem Rechner des IT-Chefs einen VNC-Dienst installiert und dummerweise wurde er bei der Fernsteuerung per VNC erwischt. Um herauszufinden, welche Informationen Herr Steinbach sonst noch eingesehen hat, werte ich das Verzeichnis Recent\ im Benutzerprofil aus. Dieser Ordner ist unter Windows normalerweise versteckt und heißt auf deutschen Systemen „Zuletzt verwendete Dokumente“. Dort finden sich oft hunderte von Link-Dateien und jede nennt die jeweils geöffnete Datei einschließlich Pfad und Zeitstempel.
Im Benutzerprofil finde ich zahlreiche Links zu Netzwerk-Shares der Form \\IP-Adresse\C$, also Zugriffe auf die administrativen Freigaben verschiedener Rechner. Herr Waldmann findet schnell heraus, dass es sich dabei ausnahmslos um Systeme handelt, auf denen Herr Steinbach nichts zu suchen hat. Anhand der Zeitstempel der Link-Dateien stelle ich eine Zeitlinie auf. Das Bild zeigt ein regelmäßiges Muster: Während der Arbeitszeit hat Herr Steinbach die administrativen Freigaben der PCs nach potenziell interessanten Dateien abgeklappert und diese nach Feierabend studiert.
Wir drucken einige der ausgespähten Dokumente aus und präsentieren die bisherigen Ergebnisse dem Leiter der IT und dem Leiter der Personalabteilung. Letzterer ist schockiert, dass er seine Sekretärin unter den Opfern der Spähattacke findet, zeigt sich aber nach kurzer Durchsicht der gefundenen Dokumente wieder einigermaßen beruhigt. Lediglich das Organigramm erregt sein Interesse: Der Entwurf für die Reorganisation wurde bisher nur zwischen Vorstand und Personalabteilung besprochen, das Dokument war derzeit noch als „streng vertraulich“ eingestuft. Im weiteren Gespräch wird schnell klar, dass das Vertrauen in den Mitarbeiter erschüttert ist. Trotzdem gelingt es mir, die Entscheidung über das weitere Vorgehen noch zu vertagen. Auf meiner To-do-Liste wartet noch ein unerledigter Punkt: Ich möchte den Systemstart genau untersuchen und prüfen, ob die Virenscanner nicht doch ein Rootkit übersehen haben.
Mit größter Sorgfalt ermittle ich anhand von Registry und Dateisystem, welche Treiber und Dienste beim Booten geladen werden. Die Treiber und Dienste sind im Schlüssel Services des CurrentControlSet gelistet; einzelne Flags bestimmen, ob und wann die Software aktiviert wird. Der gesamte Bootvorgang ist im Standardwerk Windows Internals detailliert beschrieben. Wieder einmal hilft der Registry-Report meines Forensic-Toolkits. In Kombination mit einer Tabelle, in der ich die Konfiguration eines frisch installierten Windows festgehalten habe, erkenne ich schnell zusätzlich installierte Treiber und Dienste. Sie sind allesamt einem ordnungsgemäß installierten Produkt zuzuordnen. Auch die Überprüfung der üblichen Schlüssel, etwa Run oder RunOnce bleibt ergebnislos. Damit ist klar, dass ich Herrn Steinbach nicht entlasten kann.
So bleibt mir nur noch der letzte und aufwendigste Teil der Arbeit: In einem Untersuchungsbericht den technischen Sachverhalt so darzulegen, dass sie ein Leser versteht, der keine „Bytes im Blut“ hat. Das endgültige Dokument umfasst etwa 40 Seiten und lässt Herrn Steinbach keine Ausreden offen. Später erfahre ich, dass man sich dennoch „im gegenseitigen Einvernehmen“ getrennt hat und frage mich leicht frustriert, ob es dafür etwas weniger Systematik nicht auch getan hätte.
Diskutieren Sie mit im Forum zu Tatort Internet oder werden Sie Fan von Tatort Internet auf Facebook
Über „Tatort Internet“
In dieser Serie untersuchen Experten Angriffe im Internet nach allen Regeln der Kunst und Sie können ihnen dabei über die Schulter schauen. Die geschilderten Vorfälle beruhen auf Angriffen, die tatsächlich stattgefunden haben und mit den beschriebenen Methoden analysiert wurden. Die Rahmenhandlung wurde von realen Begebenheiten inspiriert, nur die Namen der Beteiligten sind frei erfunden.
Der Experte dieser Episode, Eduard Blenkers arbeitet als Senior Consultant beim Fast Lane Institute of Knowledge Transfer in Düsseldorf. Er ist einer der Spezialisten, die Firmen zu Hilfe holen, wenn sie ungebetenen Besuch von Viren, Würmern oder Hackern bekommen haben oder wenn Daten in die falschen Hände geraten sind. (ju)
