Computer-Forensik: Neue Ermittlungsmethode vorgestellt
Mit einem neuen Live-Response-Verfahren lassen sich unter anderem Rootkits schneller und zuverlässiger erkennen.
- Alexander Geschonneck
Derzeit treffen sich in Lafayette, Indiana, Forensikexperten aus aller Welt beim sechsten "Digital Forensics Research Workshop" zum Erfahrungsaustausch. Am ersten Tag stellte Andreas Schuster, im Bereich Unternehmenssicherheit der Deutschen Telekom AG in Bonn für Computer-Forensik zuständig, eine neue Methode zur Analyse volatiler (flüchtiger) Daten von Windows-Systemen vor.
Diese so genannte Live-Response-Ermittlungstechnik wird im Bereich der Analyse von Sicherheitsvorfällen relevanter. Beschränkte man lange Zeit die forensischen Untersuchungen darauf, den Datenträger eines verdächtigen Systems zu analysieren und gelöschte oder versteckte Information wieder herzustellen, rückt nun die Analyse der Vorgänge im Arbeitsspeicher stärker in den Vordergrund. Bei ihr geht es beispielsweise darum Spuren und Beweise von Einbrechern, die nach dem Herunterfahren der Systeme unrettbar verloren wären, zu sichern.
Andreas Schuster nutzt hauptsächlich Strukturen der Speicherverwaltung des Windows-Kernels und seiner Objekte, um beim sequenziellen Durchsuchen eines Arbeitsspeicher-Abbildes Verwaltungsinformationen zu Prozessen und Threads zu identifizieren. All dies geschieht unabhängig von anderen Funktionen und Datenstrukturen des Kernels. Die oft auch von Schadprogrammen kontrollierte Windows-API wird dabei umgangen. Solange die entsprechenden Speicherbereiche noch nicht überschrieben wurden, lassen sich daher selbst bereits beendete Prozesse und Threads noch nachweisen. Neben beendeten Prozessen kann man überdies schon geschlossene Network Sockets identifizieren. Des weiteren ließe sich unter Umständen ebenfalls der Inhalt des Pufferspeichers analysieren.
Ein weiterer Vorteil dieses Analyseansatzes ist es, dass es in Zukunft damit möglich sein soll, mit minimalem Eingriff ein Hauptspeicherabbild zu erstellen und alle weiteren Analysen der Laufzeitabläufe in einem späteren Arbeitsschritt vorzunehmen. Außergewöhnlich daran ist, dass das unter optimalen Umständen laut Schuster sogar noch nach einem Warmstart möglich ist. Der Telekom-Forensiker hat hierfür eigene Werkzeuge entwickelt und vorhandene an seine Methode angepasst.
Die Technik erweist sich zudem als robust gegenüber den Manipulationen gängiger Rootkits. Diese Art Schadprogramme lässt sich so früher und zuverlässiger erkennen. Alle bisher bekannten Methoden und Werkzeuge analysieren die in den Speicherabbildern enthaltenen Prozess- und Threadlisten des Kernels. Das funktioniert allerdings nur, wenn die Prozesse nicht bereits beendet oder durch Direct-Kernel-Object-Manipulationstechniken absichtlich versteckt wurden.
Das von Andreas Schuster angewendete Verfahren ist letztendlich eine Abwandlung der Carving-Techniken, wie sie auch zur Rekonstruktion gelöschter Dateien auf Datenträgern eingesetzt werden, etwa mit den Werkzeugen foremost und scalpel. Die Vortragsunterlagen stehen demnächst auf der Workshopwebseite zur Verfügung. (Alexander Geschonneck) (ck)