Disk-Forensik/ Sonstige/ Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits

Die Existenz von Backdoors, Keyloggers, Sniffern, Fernzugriffstools und Rootkits kann (noch) existente Beweismittel gefährden. Ein potenzieller Angreifer hätte durch diese Tools die Möglichkeit Beweismittel zu vernichten oder weitere Daten zu stehlen. Deshalb ist es nötig nach einer bereits erfolgten Beweismittelaufnahme diese Tools sofort zu entfernen. Nachfolgend wird erklärt, wie man oben genannte Programme auf einem kompromittierten System auffindet.

Das Prinzip, das allen genannten Arten von Malware zu Grunde liegt, ist das unauffällige und unentdeckte Vorhandensein auf dem kompromittierten System. Durch diese Eigenschaft ist es möglich Informationen über das Opfer und die Daten des Opfers zu sammeln oder zu stehlen. Jedes dieser Tools benötigt Verbindungen zum Kernel, um alle geforderten Funktionen durchführen zu können.

Die Analyse der forensisch ermittelten Informationen über die eingesetzten Programme des Angreifers kann Hinweise auf den Angreifer und Beweise seiner Tätigkeiten liefern.

Keylogger und Sniffer

Bearbeiten

Keylogger dienen dazu geheime Informationen zu sammeln. Sie werden dazu eingesetzt um jeden Tastenanschlag auf der Tastatur aufzuzeichnen. Die Datei, welche diese Aufzeichnungen enthält, kann danach nach bekannten Benutzernamen durchsucht werden. Im Regelfall befindet sich direkt nach der Eingabe des Benutzernamens das Passwort. Bei der Suche nach Keyloggern ist auf Kernelmodule und die Logdateien dieser Programme zu achten. Gesammelte Informationen können dann per E-Mail an den Angreifer gesendet werden, was die Speicherung einer E-Mail Adresse voraussetzt, wenn auch binär kodiert. Diese E-Mail Adresse kann bei einer forensischen Analyse gefunden werden und Aufschluss über den Angreifer geben!

Backdoors und Fernzugriffstools

Bearbeiten

Backdoors und Fernzugriffstools sind dazu gedacht, dass einem Angreifer ermöglicht wird nach dem initialen Einbruch weiterhin Zugriff auf das kompromittierte System zu haben. Da ein Angreifer in diesem Fall nicht entdeckt werden soll, werden oft zusätzlich die Funktionen von Rootkits genutzt, welche eine Verschleierung der Präsenz und der Tätigkeiten des Angreifers ermöglichen. Sofern kein Rootkit zur Veränderung der Ausgabe des Tools netstat verwendet wurde, können aufgebaute Verbindugen und offene Ports des Angreifers am laufenden System identifiziert werden.

Rootkits aufspüren

Bearbeiten

Rootkits sind nicht sehr leicht aufzuspüren, da sie die Binärdateien und Bibliotheken des Systems verändern. Dadurch können sich Rootkits vor Abwehrsoftware verstecken. Dies bedeutet, dass am laufenden System nur mit aktueller Abwehrsoftware neue Rootkits entdeckt werden können.

Tools, wie chkrootkit (http://www.chkrootkit.org/) und Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html) können Rootkits anhand von Signaturen der veränderten Binärdateien aufspüren. Diese Tools können sowohl bei einer Post-Mortem-Analyse als auch am Live-System eingesetzt werden. Beim Einsatz auf einem Live-System ist darauf zu achten, dass die Tools vorkompiliert sind und nicht auf dem kompromittierten System kompiliert wurden. Beide Tools sind für Linux- und UNIX-Systeme entwickelt worden.

Das Windows Memory Forensic Toolkit (WMFT, verfügbar unter http://strony.aster.pl/forensics/) ist dazu entwickelt worden eine forensische Analyse von Speicherabbildern von Windows-Systemen durchzuführen. Hierfür muss zuerst ein Speicherabbild des kompromittierten Systems erstellt werden, welches dann mit WMFT untersucht werden kann. WMFT kann alle laufenden Prozesse auflisten, auch diejenigen, die mittels DKOM versteckt wurden. Darüber hinaus sind detaillierte Information zu jedem Prozess abrufbar. Hierzu gehört auch eine Auflistung der zu dem Prozess gehörigen Speicherbereiche.

DKOM steht für "Direct Kernel Object Manipulation", welche in Rootkits zum Verbergen von Prozessen und Daten benutzt wird. Diese Technik ist der Verwendung von Hooks zum Verbergen von Informationen überlegen [HoBu06, Kapitel 7]. Für genauere Informationen über Funktionsweise und Aufbau von Rootkits wird auf das Buch "Rootkits - Windows Kernel unterwandern" [HoBu06] von Greg Hoglund und James Butler verwiesen.