14.6.5. Forensische Analyse
Nun, da der Betrieb wiederhergestellt ist, ist es an der Zeit, sich die Abbilder des kompromittierten Systems genauer anzusehen, um den Angriffsvektor zu verstehen. Beim Einhängen dieser Abbilder sollte darauf geachtet werden, dass die Optionen ro,nodev,noexec,noatime verwendet werden, um zu verhindern, dass der Inhalt verändert wird (einschließlich der Zeitstempel für den Zugriff auf Dateien) oder versehentlich kompromittierte Programme ausgeführt werden.
Ein Angriffsszenarium zurückzuverfolgen bedeutet gewöhnlich, nach allem Ausschau zu halten, das verändert und ausgeführt wurde:
.bash_history-Dateien stellen häufig eine sehr interessante Lektüre dar;
das Gleiche gilt für Dateien, die vor kurzem erstellt, verändert oder angesteuert wurden;
der Befehl strings hilft dabei, vom Angreifer installierte Programme zu identifizieren, indem er Textstrings aus einer Binärdatei extrahiert;
die Protokolldateien in /var/log/ ermöglichen es oft, eine Chronologie der Ereignisse zu rekonstruieren;
Spezialprogramme ermöglichen es auch, den Inhalt von Dateien wiederherzustellen, die möglicherweise gelöscht worden sind, einschließlich der Protokolldateien, die Angreifer häufig löschen.
Einige dieser Arbeitsgänge können durch spezialisierte Software erleichtert werden. So ist insbesondere
The Coroner Toolkit (im Paket
tct) eine Sammlung derartiger Werkzeuge. Es umfasst mehrere Hilfsprogramme; unter ihnen kann
grave-robber Daten eines laufenden kompromittierten Systems sammeln,
lazarus extrahiert häufig interessante Daten aus nicht zugewiesenen Bereichen einer Platte, und
pcat kann den Speicher, der von einem Prozess verwendet wird, kopieren; andere Datengewinnungsprogramme sind ebenfalls enthalten.
Das Paket
sleuthkit stellt einige weitere Hilfsprogramme zur Analyse eines Dateisystems bereit. Ihre Benutzung wird durch die grafische Schnittstelle
Autopsy Forensic Browser (im Paket
autopsy) erleichtert.
