Mit forensischen Methoden Angriffsvektoren vollständig aufklären

Digital Forensics und Incident Response (DFIR)

Digital Forensics und Incident Response (DFIR) kommt dann zum Einsatz, wenn ein Unternehmen Opfer einer Cyber-Attacke wurde und alle anderen IT-Sicherheitsvorkehrungen versagt haben. Anhand von Artefakten, also Spuren von Angreifern, welche auf einem kompromittierten System hinterlassen wurden identifizieren Forensiker die Angriffsvektoren und ermitteln den Umfang des Schadens. Anschließend werden Gegenmaßnahmen eingeleitet und Schutzmechanismen aufgebaut, um Angriffe über dasselbe Einfallstor künftig zu verhindern.

Unternehmen sehen sich dauerhaft Cyberkriminalität durch Hacker und Angreifer ausgesetzt, die es auf ihre Daten oder ihr Geld abgesehen haben. Ein klassisches Einfallstor sind Emails mit infizierten Anhängen oder Links. Gerade Endbenutzer stehen oft im Visier der Angreifer, da diese tendenziell wenig darin geschult und erfahren sind, Angriffe als solche zu erkennen. Angriffe erfolgen meistens gezielt über sogenanntes Spear Phishing oder werden als groß angelegte Kampagnen in der Breite gefahren, um Lücken in Systemen auszunutzen.

„Die Bedrohungslage ist hoch bzw. steigt sogar noch an“, so Tobias Messinger, Senior Cyber Defense Consultant beim IT-Sicherheits-Dienstleister SECUINFRA. Speziell aus diesem Grund wurde das SECUINFRA Falcon-Team aufgestellt. „Im Frühjahr 2021 wurden vier schwerwiegende Sicherheitslücken im Microsoft Exchange-Server bekannt. Mit einer Kombination der Schwachstellen war es Angreifern möglich, Dateien auf dem System zu erstellen, zu ändern sowie zu löschen. Hierdurch konnten die Akteure unter anderem einen dauerhaften Zugriff auf dem System erlangen.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte das Problem daher als sehr kritisch ein. „Es ist nur eine Frage der Zeit, bis Angreifer die nächste Lücke aufspüren und ausnutzen“, warnt Messinger.

Unternehmen müssen diese Angriffe abwehren und sich vor dem Verlust sensibler Daten oder vor Reputationsschäden schützen. Im Falle eines Angriffs sollten Unternehmen daher unter professioneller Hilfe geeignete Gegenmaßnahmen ergreifen. Das Mittel der Wahl stellt dabei Digital Forensics & Incident Response (DFIR) dar. Hierdurch können Angriffe rekonstruiert, die ausgenutzten Schwachstellen in der IT-Infrastruktur identifiziert und anschließend geschlossen werden.

„Die sogenannten Indicators of Compromise (IOC), also jene Spuren, die ein Angreifer in den Systemen hinterlässt, können durch Methoden der digitalen Forensik entdeckt und verarbeitet werden,“ so Messinger weiter. „Bei einem Vorfall werden die Systeme unternehmensweit nach den identifizierten Spuren einer Kompromittierung gescannt. Das Ziel besteht darin, den Patient-Zero zu identifizieren. Ein weiteres mögliches Ziel ist die Root-Cause-Analysis (RCA).“

Die Incident Response, ein weiterer Grundpfeiler der Cyber Security, deckt den gesamten Zyklus der Vorfallsuntersuchung und -behebung ab und umfasst Handlungsempfehlungen, die auf den Erkenntnissen der Digital Forensics beruhen: Welche Schritte werden als nächstes unternommen, welche Daten von welchem System sind betroffen, müssen Systeme isoliert, Backups wiederhergestellt oder das System neu installiert werden? Wird schnell und richtig reagiert, kann dies die Schäden einer Attacke eindämmen. Die Incident Response steuert zudem alle Beteiligten des betroffenen Unternehmens und des IT-Dienstleisters. „Das Ziel besteht darin, den Schaden so weit es geht zu reduzieren und die Arbeitsfähigkeit schnellstmöglich wiederherzustellen,“ fasst Leon Hormel, Cyber Defense Consultant im SECUINFRA Falcon Team, zusammen.

DFIR: Die Tools und die Vorgehensweise

Für DFIR ist die Vorgehensweise stets fallabhängig: „Da jeder Incident und jede Systemlandschaft anders ist, hängt die anzuwendende Methodik von dem Angriff und der Umgebung ab“, erklärt Messinger. So nutzt bspw. das SECUINFRA Falcon-Team eine Palette von etablierten Tools der digitalen Forensik. Diese kann grob in drei Teile eingeteilt werden: Bei den Endpoint Forensics werden Geräte wie Server, Workstations oder Laptops analysiert, um Angriffsspuren wie Malware, Data Exfiltration oder auffälliges Nutzerverhalten zu entdecken. Network Forensics beinhaltet die Identifikation und Analyse von Angriffsspuren auf Basis des Netzwerkverkehrs. Unter die Malware Forensics fällt schließlich die Analyse von (potenzieller) Schadsoftware zur Identifikation von IOC, die Rekonstruierung des Tathergangs sowie die Bewertung des Schadensausmaßes.

Die forensische Analyse folgt den sechs Schritten des Investigation Life Cycle: In der Identification-Phase verschaffen sich die Forensiker einen ersten Überblick. Das beinhaltet die Befragung des Auftraggebers und eine Quellensuche. Phase zwei des Investigation Life Cycle ist die Preservation-Phase die sicherstellt, dass Beweise, die in den späteren Phasen aufgenommen und analysiert werden, eine nachvollziehbare und nicht manipulierbare Beweismittelkette bilden. So kann der Angriff genau nachverfolgt werden. „Die chronologische Dokumentation von Beweismitteln ist wichtig, um Versicherungsleistungen in Anspruch nehmen sowie Schadensersatzforderungen begegnen oder Strafverfolgung einleiten zu können“, fügt Messinger hinzu. In der Collection-Phase werden Beweise gesammelt – dabei kann es sich zum Beispiel um Hardware wie Laptops, Telefone und Festplatten, aber auch um Dateien wie Downloads, Logdaten oder Mitschnitte des Netzwerkverkehrs handeln. Um daraus Schlussfolgerungen zu ziehen, werden gesammelte Beweismittel in der Analyse-Phase systematisch durchforstet und bewertet. Die eigentlich fünfte Phase, die Documentation, ist ein kontinuierlicher Prozess während des gesamten Digital Forensics Einsatzes. Sie stellt die Nachvollziehbarkeit sicher – von der Aufnahme des Falls bis hin zur Rekonstruktion des Angriffs. Die finale Phase des Einsatzes ist die Presentation-Phase: Dabei wird der Angriff möglichst genau rekonstruiert. Bei Bedarf werden in dieser Phase Verbesserungsvorschläge zur Stärkung der Cyber Resilience unterbreitet. „Die einzelnen Phasen können mehrfach durchlaufen werden, um Hypothesen zu bestätigen oder zu widerlegen“, erklärt Hormel.

Die Analyse umfasst in der Regel drei Tage. Im Worst Case müssen die Systeme neu aufgebaut werden; es kann jedoch auch ausreichen, Updates und Patches auszuführen, Passwörter zu ändern, das Rollenkonzept zu überarbeiten oder Schutzmaßnahmen wie Firewalls und EDR-Tools (endpoint detection and response) einzusetzen.

Die Analysten wissen bei der Übernahme des Falls in der Regel aus Erfahrung, worum es geht. Zwar ist jeder Fall anders, aber oft liefern Muster Anhaltspunkte. Wichtig ist, dass die Incident Response schnell eingeleitet wird: „Da Artefakte teilweise volatil sind, wird die Aufarbeitung um so schwieriger, je weiter ein Angriff in der Vergangenheit liegt,“ sagt Hormel. Nicht immer ist ein Angriff sofort als solcher zu erkennen. Gerade der Abfluss von Daten wird oft erst spät bemerkt.

DFIR braucht Flexibilität und Expertise

Von Angriffen sind Unternehmen aller Größen und Branchen betroffen. Zwar ist es möglich, ein kompromittiertes System auf eigene Faust zu bereinigen. Jedoch wird dabei nicht aufgeklärt, wie der Angriff zustande kam; der Angriffsvektor kann so nicht geschlossen werden. Auch lateral movement kann übersehen werden, wenn sich der Angreifer unerkannt in benachbarte Systeme eingenistet hat und darüber eine Persistenz für künftige Angriffe schafft. Der Aufbau eines eigenen unternehmensinternen Incident-Response-Teams ist allerdings zeit- und ressourcenintensiv, weshalb Unternehmen spezialisierte Partner zur Verfügung stehen.

Messinger fasst zusammen: „Ein DFIR-Team braucht Flexibilität: Attacken ereignen sich oft in den Nachtstunden außerhalb regulärer Arbeitszeiten. Gerade dann ist es wichtig, schnell unterstützen zu können.“ Cyber-Defense-Experten benötigen zudem analytische Fähigkeiten sowie ein breites IT-Security und IT-Wissen. Sie müssen am Ball bleiben. Eine Herausforderung besteht zudem darin, das große Ganze im Blick zu behalten und sich nicht in Details zu verzetteln. Wichtig ist auf Unternehmensseite eine offene Kommunikation: DFIR benötigt Vertrauen auf beiden Seiten.

Fazit

DFIR erlaubt es, Cyberangriffe und IT-Sicherheitsvorfälle zeitnah und vollständig aufzuklären. Ein DFIR-Team identifiziert, analysiert und dokumentiert die digitalen Artefakte, unterstützt bei der Incident Response und gibt Empfehlungen, um die Cyber Resilience zu verbessern. Das Unternehmen gewinnt Klarheit über das Ausmaß des Schadens und kann Gegenmaßnahmen ergreifen.

Autorin: Nadja Müller, IT-Journalistin für Wordfinder

SECUINFRA ist Experte und Partner für Cyber Defense und hat sich auf Detektion, Analyse sowie Abwehr von Cyber-Angriffen spezialisiert. Kernkompetenzen bilden dabei der Aufbau und Betrieb von Security Operation Centern (SOC) und Cyber Defense Centern (CDC).

Bei der Erkennung von Cyber-Angriffen setzt SECUINFRA vor allem auf Security Information & Event Management (SIEM) mit dem es möglich ist, sicherheitsrelevante Events aus verschiedensten Quellen zusammenzuführen, um diese automatisiert und nahezu in Echtzeit zu analysieren. Zudem setzt SECUINFRA erfolgreich Methoden zu Digital Forensics und Incident Response (DFIR) ein und erhöht mit Compromise Assessments die Cyber Resilience seiner Kunden.

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Invalidenstraße 34
10115 Berlin
+49 30 5557021 11
sales@secuinfra.com
https://www.secuinfra.com/de/

Pressekontakt
Wordfinder GmbH & Co. KG
Patrick Schulze
Lornsenstraße 128-130
22869 Schenefeld
+49 40 840 55 92-18
+49 40 840 55 92-29
ps@wordfinderpr.com
https://wordfinderpr.com/

Bildquelle: @Pixabay