IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken

Nachdem Angreifer das IT-System kompromittieren, streben sie häufig Persistenz in der Umgebung an. Mit Autoruns kann man Persistenzmechanismen aufdecken.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Lesezeit: 15 Min.
Von
  • Gregor Wegberg
Inhaltsverzeichnis

Angreifern steht eine große Zahl unterschiedlicher Persistenzmechanismen zur Verfügung, mit denen sie sich dauerhaft auf einem System einnisten können. Allein in der Windows-Matrix der Wissenssammlung MITRE ATT&CK Framework sind 87 solcher Mechanismen dokumentiert. Dieses Framework ist eine systematische, kategorisierte Aufstellung von Verhaltensmustern, die bei Angreifern und Schadsoftware beobachtet wurde.

In den letzten Jahren wurde sie zu einer zentralen Referenz und zum täglichen Werkzeug für Experten sowohl offensiver als auch defensiver IT-Sicherheit. Zu jeder Angriffstechnik (Techniques und Sub-Techniques) gibt es auf der Webseite des Projekts MITRE-ATT&CK eine Kurzbeschreibung, eine Liste von Angreifern und Schadsoftware, die sie angewendet haben, Empfehlungen zu relevanten Schutzmaßnahmen und Hinweise zur Detektion.

Mehr zum Thema IT-Forensik

Das Ausfindigmachen der Sicherheitslücke, über die ein Angreifer oder eine Malware einen Angriff begonnen hat und in ein IT-System eingedrungen ist, ist ein wichtiger Bestandteil bei der Bewältigung eines Informationssicherheitsvorfalls. Ihre Schließung soll sicherstellen, dass es nicht zu einer erneuten Kompromittierung kommt. Dies allein reicht aber nicht aus.

Das war die Leseprobe unseres heise-Plus-Artikels "IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.