Speicherforensik
Hilfe bei der Vorfallsreaktion
Cybervorfälle häufen sich. Deswegen kommt es immer mehr auf eine schnelle und zielgerichtete Reaktion des Sicherheitsteams an. Hier kann die Speicherforensik einen wesentlichen Beitrag leisten. Durch die Erfassung des Speichers eines kompromittierten Geräts können Sicherheitsverantwortliche schnell Analysen durchführen, um potenzielle Malware aufzuspüren und Indikatoren einer Kompromittierung (IoCs) zu sammeln, die dann wiederum der Identifikation weiterer kompromittierter Geräte dienen.
Im Gegensatz zur Festplattenforensik, bei der man das Dateisystem eines Geräts klont und jede Datei auf der Festplatte wiederherstellen und analysieren kann, erfasst man bei der Speicherforensik den laufenden Speicher eines Geräts und untersucht ihn nach Hinweisen auf bösartige Software. Damit konzentriert sich die Analyse auf die Programme, die zum Untersuchungszeitraum tatsächlich aktiv waren.
Oft besteht eine erste Reaktion auf einen Sicherheitsvorfall im Ausschalten des betroffenen Geräts. Aus Sicht der Speicherforensik ist dies allerdings problematisch, weil dadurch wertvolle Informationen verloren gehen. Die Malware läuft im Speicher und schreibt ihre volatilen, sich stets verändernden Daten nicht auf die Festplatte. Beim Ausschalten gehen somit alle Netzwerkverbindungen und laufenden Prozesse verloren – und damit auch die Beweise. Deshalb sollte man ein kompromittiertes Gerät lediglich vom Rest des Netzwerks isolieren.
Faktor Zeit
Bei einem Cybervorfall zählt jede Minute. Zunächst ist festzustellen, dass sich Malware auf dem Gerät befindet, bevor man eine Probe gewinnen und die Malware mit speziellen Tools durch Reverse-Engineering analysieren kann. Die Erstellung eines Images des betroffenen Geräts kann sehr zeitaufwendig sein. Zudem ist das oft über 100 GByte große Image an einen Ort zu übertragen, an dem man es analysiert kann. Hinzu kommt die Analyse durch das Incident-Response-Team. All dies kostet Zeit.
Die Geschwindigkeit ist ein wesentlicher Vorteil der Speicheranalyse. In aller Regel ist der Arbeitsspeicher eines Geräts viel kleiner als dessen Festplatte. RAM-Größen von 16 oder 32 GByte sind üblich, während Festplatten oftmals über 100 GByte groß sind. Entsprechend schneller vollzieht sich die Erfassung eines RAM-Dumps. Wenn man bei der Untersuchung eines Vorfalls dem RAM den Vorzug vor einem Festplatten-Image gibt, kann man bereits damit beginnen, den RAM-Dump auf IoCs zu analysieren, während das Festplatten-Image noch erstellt wird.
Die Erfassung des Arbeitsspeichers eines physischen Geräts kann mit verschiedenen Tools erfolgen. Ein zuverlässiges und recht einfach zu verwendendes Programm ist WinPmem. Nach dem Download öffnet man die Eingabeaufforderung mit Administratorrechten und navigiert zu dem Ort auf der Festplatte, an dem die ausführbare Datei vorliegt. Alternativ kann man das Tool auch von einem USB-Stick ausführen und das Ergebnis auf einer externen Festplatte speichern. Um eine Speichererfassung zu starten und eine raw-Ausgabedatei zu erstellen, gibt man die folgende Syntax ein: winpmem_mini_x64.exe <Dateiname>.raw. WinPMem zeigt dann den Fortschritt bei der Erfassung des Arbeitsspeichers an und erstellt eine raw-Datei, die den erfassten Speicher des Geräts enthält.
Die Erfassung des Arbeitsspeichers einer virtuellen Maschine (VM) wiederum gestaltet sich sehr schnell und einfach, was gerade bei der zeitkritischen Vorfallsreaktion ein enormer Vorteil ist. Der Snapshots einer virtuellen Maschine erzeugt eine vmem-Datei, die sich dann mit einem Forensikwerkzeug analysieren lässt.
Hat man den Speicher ausgelesen, gilt es, ihn zu analysieren. Dazu stehen zahlreiche Tools zur Verfügung. Volatily für Windows und Linux zum Beispiel gibt den Sicherheitsverantwortlichen schnell wertvolle Informationen, etwa über die die Prozesse, die auf dem Gerät liefen und die eingeschleusten Code enthielten. Vergleichbare Programme sind Rekall und Redline.
- Hilfe bei der Vorfallsreaktion
- Wonach man suchen sollte
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
