# Forensic Analysis: Die Suche nach dem digitalen Fingerabdruck

TL;DR / Management Summary Wenn ein System kompromittiert wurde, beginnt die Detektivarbeit. Wir müssen Beweise sichern, bevor wir das System säubern. Ein Senior Admin folgt der Order of Volatility: Zuerst wird der Arbeitsspeicher (RAM) gesichert, dann die Netzwerkverbindungen und erst am Ende das Dateisystem. Wir nutzen Tools wie AVML, dd und strings, um die Hintertüren der Angreifer zu finden und zu verstehen, wie tief der Einbruch wirklich ging.

# 1. Einführung & Architektur

Die Ordnung der Flüchtigkeit.

Beweise verschwinden unterschiedlich schnell.

1. RAM: Geht beim Ausschalten verloren. Enthält Passwörter, Rootkits und aktive Verbindungen.
2. Temp-Files: Werden oft beim Reboot gelöscht.
3. Disk: Persistent, aber Metadaten (atime) ändern sich bei Berührung.

# Der Forensik-Prozess (Mermaid)

graph TD
    A[Compromised Host] --> B[1. Memory Acquisition: RAM Dump]
    B --> C[2. Network State: ss / lsof]
    C --> D[3. Disk Imaging: dd / Clone]
    D --> E{Analysis Environment}
    E --> F[Timeline Analysis]
    E --> G[Persistence Search: crontab / systemd]
    E --> H[Malware Analysis: strings / binwalk]
    F/G/H --> I[Incident Report]

# 2. Memory Acquisition: Den RAM sichern

Das Gold des Forensikers.

Nutzen Sie Werkzeuge, die den RAM-Inhalt in eine Datei schreiben, ohne das laufende System massiv zu verändern.

# Nutzung von AVML (Microsoft / Linux)

# Erstellt einen kompletten RAM-Dump
sudo ./avml output.mem

# 3. Suche nach Persistenz

Wo versteckt sich der Angreifer?

Ein Angreifer will auch nach einem Reboot wieder reinkommen. Er nutzt “Persistence Mechanisms”.

# Checkliste für Persistenz

1. Systemd Units: ls -la /etc/systemd/system/ (Suchen nach neuen/unbekannten Services).
2. Cron-Jobs: cat /etc/crontab und ls /var/spool/cron/tabs/.
3. Shell-Profiles: cat /etc/profile, ~/.bashrc (Suchen nach Reverse-Shells).
4. SSH Keys: cat ~/.ssh/authorized_keys (Unbekannte Keys finden).

# 4. Day-2 Operations: Timeline Analysis

Wann ist was passiert?

Nutzen Sie den MAC (Modified, Accessed, Changed) Zeitstempel von Dateien.

# Suche nach allen Dateien, die in den letzten 2 Stunden geändert wurden
find / -mmin -120 -ls

# 5. Troubleshooting & “War Stories”

Wenn der Angreifer den Admin täuscht.

# Story 1: “Die manipulierten Tools”

Symptom: ls zeigt keine neuen Dateien an, aber df meldet, dass 10GB Platz fehlen. Ursache: Der Angreifer hat /bin/ls durch ein Rootkit-Binary ersetzt, das seine Dateien einfach ausblendet. Lösung: Nutzen Sie immer statisch gelinkte Binaries von einem vertrauenswürdigen Rettungsmedium (Artikel 358). Vergleichen Sie die Prüfsummen (sha256sum) der System-Tools mit einem sauberen Server.

# Story 2: “Das Zeitstempel-Faking (Timestomping)”

Symptom: Alle Dateien in /etc haben den exakt gleichen Zeitstempel von vor 2 Jahren, obwohl sie offensichtlich geändert wurden. Ursache: Der Angreifer hat das Tool touch -d genutzt, um die Zeitstempel zu manipulieren und die Timeline-Analyse zu sabotieren. Lösung: Schauen Sie auf das ctime (Change Time) Feld des Inodes via stat <file>. Das ctime lässt sich (im Gegensatz zu mtime) nicht so einfach durch Standard-Tools manipulieren, da es vom Kernel bei jedem Inode-Update gesetzt wird.

# 6. Fazit & Empfehlung

• Ruhe: Treffen Sie keine übereilten Entscheidungen. Jedes Tippen am Server verändert Beweise.
• Wahl: Nutzen Sie Autopsy oder Sleuth Kit auf Ihrem Admin-Laptop, um die gesicherten Disk-Images in Ruhe zu analysieren.
• Audit: Ein gut konfiguriertes Auditd (Artikel 337) erspart Ihnen 90% der forensischen Arbeit, da die Daten bereits strukturiert vorliegen.

# Anhang: Cheatsheet für Ersthelfer