Incident Response: Computer-Forensik mit Windows-Befehlszeilentools

Incident Response ist elementarer Bestandteil einer IT-Sicherheitsstrategie. Sie umfasst Forensik-Tools, um kompromittierte PCs zu identifizieren.

Incident Response, im Deutschen gelegentlich auch als Vorfallsbehandlung bezeichnet, ist einer der wichtigsten...

Bausteine eines Informationssicherheitsprogramms in Unternehmen. Windows als  populärstes Betriebssystem im Firmenumfeld steht häufig im Zentrum von Sicherheitsvorfällen. Zu untersuchen, ob ein betrieblich genutztes Windows-System kompromittiert wurde, ist eine entscheidende Komponente bei Incident Response.

Obwohl die Grundlagen von Incident Response bei Windows in den letzten Jahren im Großen und Ganzen gleich geblieben sind, gibt es eine Reihe neuer Tools und Techniken, die sich in einen Incident-Response-Plan von Unternehmen integrieren lassen.

Viele der neueren Windows-Befehlszeilentools stammen von Drittanbietern oder sind auf Windows-Clients nicht standardmäßig installiert. Allerdings müssen Sie hierbei aufpassen, denn eine beträchtliche Anzahl an Malware-Dateien tarnen sich als Sicherheits- oder Forensik-Tools von Fremdherstellern. Zwar gibt es eine Vielzahl von empfehlenswerten Tools im Internet, dennoch ist es wohl am einfachsten - und sichersten -, ein Standard-Incident-Response-Toolkit auf CD oder einem USB-Laufwerk zu nutzen.

In diesem Tipp beschreibe ich die in Windows enthaltenen Befehlszeilenfunktionen und Tools, mit denen IT- und Sicherheitsadministratoren herausfinden können, ob ein Rechner kompromittiert wurde. Darüber hinaus finden Sie auch Techniken und Hinweise, wie Sie auf Basis der Ergebnisse weiter vorgehen sollten.

So stellen Sie fest, ob ein Rechner kompromittiert wurde

Einer der ersten Schritte bei Incident Response besteht darin, zu klären, ob ein Computer kompromittiert wurde. Alle Befehle, die in früheren Tipp vorgestellt wurden, lassen sich nach wie vor zu diesem Zweck verwenden. Ed Skoudis bietet auf seiner Website etwa Dokumente an, die ausführlicher auf die Möglichkeiten der Windows-Befehlszeile eingehen, was sich für die Aufnahme in ein Incident-Response-Toolkit eignet.

Die wohl größte Verbesserung im Bereich der Befehlszeilentools für Windows ist die Entwicklung der PowerShell. Dabei handelt es sich um ein Framework zur Task-Automatisierung und Konfigurationsverwaltung von Microsoft, das wesentlich umfangreichere Funktionen besitzt als ältere integrierte Befehlszeilenutilities. In einem Blogeintrag erläutert Russ McRee, Mitarbeiter in Microsofts Abteilung Online Services Security & Compliance, wie Sie die PowerShell nutzen können, um einen potenziellen Sicherheitsvorfall zu untersuchen.

Die PowerShell kann die gängigsten Befehlszeilenutilities - zum Beispiel pslist zum Auflisten von Prozessen oder pskill zum Beenden von Prozessen - durch ihre Skriptingfunktionen ersetzen. Unternehmen können außerdem eigene Standard-PowerShell-Skripte schreiben, um die Beweismittel zu sammeln, die für sie in ihrer Umgebung am relevantesten sind. Diese Vorgehensweise trägt zur Konsistenz bei Incident Response bei.

Die erfassten Daten können mit einem nicht kompromittierten System oder einem Basis-Image verglichen werden, um so weitere Hinweise zu ermitteln, die es sich im Detail zu untersuchen lohnt. Alle Auffälligkeiten, etwa verdächtige Netzwerkverbindungen, Prozesse oder Dateien, sollte man anhand einer Liste der auf dem System installierten Anwendungen oder vorhandenen Dateien mit Daten von einem Intrusion-Detection-System oder einem System-Management-Tool vergleichen.

So erhalten Sie mit der PowerShell eine Liste der Prozesse:

Get-Process | Out-Gridview

Und so erhalten Sie eine Liste der installierten Programme:

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table –AutoSize

Alternativ können Nutzer mit einem PowerShell-Skript namens log connections eine Liste mit potenziell verdächtigen Netzwerkverbindungen abrufen. Diese Methode kann einfacher sein, um die Netzwerkverbindungen zu finden, die es gründlicher zu analysieren gilt.

Um andere Aspekte des Hosts unter die Lupe zu nehmen, lassen sich auf der Kommandozeile verschiedene Befehle nutzen, mit denen Sie Daten über das laufende System gewinnen. So fragen Sie eine Liste der IP-Konfigurationen ab:

Ipconfig –a

Den Befehl netsh können Sie einsetzen, um den Status der Firewall herauszufinden:

netsh advfirewall export "firewall.txt"

Der Befehl Driverquery kann genutzt werden, um alle verwendeten Treiber aufzulisten und auf diese Weise festzustellen, ob sich darunter potenziell gefährliche Treiber befinden:

driverquery /v /fo csv > drvlist.csv

Die Ausgabe all dieser Befehle lässt sich mit dem Operator ">" in eine Datei umleiten, zum Beispiel folgendermaßen:

C:\>ipconfig /a > ipconfig.txt

Durch die Umleitung in eine Datei können Administratoren den Status des Systems festhalten, so dass es sich von einem als sicher bekannten System aus mit anderen Tools weiter analysieren und korrelieren lässt.

Techniken für den Umgang mit kompromittierten Rechnern

Nachdem ein Computer als kompromittiert identifiziert wurde, besteht der nächste Schritt darin, das System weiter zu untersuchen oder die Integrität wiederherzustellen. Die weitere Analyse kann mit forensischen Tools aus dem kommerziellen oder Open-Source-Bereich, zum Beispiel "volatility" oder "pyflag", ausgeführt werden. Oder aber man analysiert die aufgrund verdächtiger Prozesse oder Netzwerkverbindungen ermittelte Malware. Dies kann hilfreich sein, da es eventuell dazu führt, andere kompromittierte Systeme aufzuspüren, spezielle Kompromittierungen von Accounts zu identifizieren oder herauszufinden, welche Daten der Angreifer erbeutet hat.

Obwohl die Grundlagen von Incident Response bei Windows in den letzten Jahren im Großen und Ganzen gleich geblieben sind, gibt es eine Reihe neuer Tools und Techniken, die sich in einen Incident-Response-Plan von Unternehmen integrieren lassen.

Obwohl es am sichersten und einfachsten ist, ein System, das mit Malware infiziert oder anderweitig durch einen Angreifer kompromittiert wurde, mittels Neuinstallation wiederherzustellen, kann sich dies bei einigen Systemen als unpraktisch oder gar unmöglich erweisen. Wenn genügend Grund zu der Annahme besteht, dass Unbefugte auf sensible Daten auf der kompromittierten Maschine zugegriffen haben, sollte eine genaue Untersuchung erfolgen. Sie dient der Klärung, wie die Sicherheit des Computers kompromittiert wurde, sodass sich die zugrunde liegende Ursache ermitteln und beseitigen lässt. Die Abhilfe könnte unter anderem darin bestehen, Patches zu installieren, andere Systemkonfigurationsänderungen vorzunehmen, um ein System zu härten, oder neue Sicherheitsmaßnahmen für ein System einzuführen.

Wenn der infizierte Rechner oder der User keine sensiblen Daten verarbeitet, speichert oder Zugriff darauf hat, kann es als Incident Response bereits ausreichen, der Standardempfehlung zu folgen und eine Neuinstallation auf Basis eines bekanntermaßen sauberen Backups durchzuführen. Falls ein Angreifer auf frischer Tat erwischt wird und daran gehindert werden kann, sich administrativen Zugang zu verschaffen, ist eine komplette Neuinstallation möglicherweise überflüssig. Wenn es darum geht, eine gerade stattfindende Attacke zu stoppen, müssen Sie als Gegenmaßnahmen beispielsweise vom Angreifer gestartete Prozesse beenden, die schädlichen Dateien entfernen und sicherstellen, dass die zugrunde liegende Ursache identifiziert und beseitigt wird.

Microsoft hat in Windows 8 ein Befehlszeilentool namens Recimg.exe eingeführt, mit dem Sie ein benutzerdefiniertes System-Image erstellen können, um das System wiederherzustellen. Wenn Sie mithilfe dieses Kommandos ein Image von einem sauberen System anlegen, können Sie das Abbild im Falle einer Kompromittierung des Computers verwenden, um den nicht kompromittierten Zustand wiederherzustellen. Das bedeutet im Allgemeinen weniger Aufwand als eine vollständige Neuinstallation des Systems.

Fazit

Auch wenn sich Computer und das Windows-Betriebssystem mit jedem Jahr und jeder neuen Version stark ändern, lassen sich auch heutzutage viele der in der Vergangenheit bewährten Tools und Techniken für kompromittierte Rechner im Rahmen von Incident Response nutzen. Diese Tools können zudem Techniken oder Hinweise liefern, wie Sie am besten mit Kompromittierungen umgehen.

Es ist von entscheidender Bedeutung, dass Unternehmen ihre Tools und Programme regelmäßig aktualisieren, um nicht Opfer von bekannten und bereits gepatchten Schwachstellen zu werden. Nachdem der Incident-Response-Plan etabliert ist, empfiehlt es sich, diese Tools und Programme auch mit kleineren Updates zu versorgen.

Über den Autor:

Nick Lewis ist Sicherheitsbeauftragter der Saint Louis University. Lewis hat 2005 seinen Master of Science in Informationssicherung an der Norwich University und 2002 in Telekommunikation an der Michigan State University abgeschlossen. Bevor er 2011 bei der Saint Louis University anfing, arbeitete Lewis an der University of Michigan und im Boston Children's Hospital. Zudem war er für Internet2 und die Michigan State University tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close