Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Speicherforensik für die Incident Responses

Bei der Reaktion auf einen Cybersicherheitsvorfall ist die Speicherforensik immer eine wichtige Methode Durch die Erfassung des Speichers eines kompromittierten Geräts können Sie schnell bestimmte Analysen durchführen, um potenzielle Malware...
Neil Fox
5 minute gelesen
Letzte aktualisierung 21. April 2023

Inhalt

    Bei der Reaktion auf einen Cybersicherheitsvorfall ist die Speicherforensik immer eine wichtige Methode Durch die Erfassung des Speichers eines kompromittierten Geräts können Sie schnell bestimmte Analysen durchführen, um potenzielle Malware zu identifizieren und IOCs zu sammeln, die dann zur Identifizierung anderer kompromittierter Geräte verwendet werden können.

    In diesem Artikel werde ich die folgenden Themen behandeln:

    • Einen Überblick über die Speicherforensik bieten
    • Erklären, was flüchtige Daten sind und warum sie für Speicherforensik relevant sind
    • Erklären, was ein Speicher-/RAM-Dump ist
    • Skizzieren, welche Vorteile die Speicheranalyse bietet
    • Einen Überblick über einige gängige Tools bieten, die für die Speicheranalyse verwendet werden können

    Übersicht der Speicherforensik

    Blog_Design_memory_forensics_20210722_V1 (1)_de-DE-1

    Speicherforensik ist der Prozess der Erfassung des laufenden Speichers eines Geräts und der anschließenden Analyse der erfassten Ausgabe auf Anzeichen bösartiger Software. Im Gegensatz zur Festplattenforensik, bei der das Dateisystem eines Geräts geklont wird und jede Datei auf der Festplatte wiederhergestellt und analysiert werden kann, konzentriert sich die Speicherforensik auf die tatsächlichen Programme, die auf einem Gerät ausgeführt wurden, als der Speicher-Dump erfasst wurde.

    Der Arbeitsspeicher eines Geräts wird als Random Access Memory (RAM) bezeichnet. Beim Kauf eines neuen Laptops finden Sie daher als Teil der Spezifikation die Größe der Festplatte, z. B. 1 TB, und die Größe des Arbeitsspeichers, z. B. 16 GB.

    Wenn eine Anwendung auf einem Gerät geöffnet wird, wird dieser Anwendung eine bestimmte Menge an Arbeitsspeicher zugewiesen, damit sie ausgeführt werden kann; wenn Anwendungen geöffnet werden, muss das Gerät mehr Arbeitsspeicher zuweisen. Aus diesem Grund sind Geräte mit einem größeren Arbeitsspeicher schneller, da sie mehr Anwendungen gleichzeitig ausführen können.

    Was sind flüchtige Daten?

    Jede Person, die mit Sicherheitsvorfällen arbeitet, sollte mit dem Konzept der flüchtigen Daten vertraut sein, denn bei einem kompromittierten Gerät besteht eine der ersten Reaktionen darin, das Gerät auszuschalten, um die Bedrohung einzudämmen.

    Das Problem bei diesem Ansatz ist, dass jede Malware, die auf dem Gerät läuft, im Speicher ausgeführt wird. Dadurch gehen alle Netzwerkverbindungen und laufenden Prozesse verloren, da die Malware im Speicher gelaufen ist und diese Daten nun verloren sind. Solche flüchtigen Daten werden nicht auf die Festplatte geschrieben und ändern sich ständig im Speicher, so dass wertvolle Beweise zerstört werden, wenn das Gerät abgeschaltet wird.

    Die Netzwerkeindämmung (Isolierung des Geräts vom Rest des Netzwerks) ist die bevorzugte Option bei der Isolierung eines kompromittierten Geräts. Mit dieser Methode wird der Vorfall sicher eingedämmt, wertvolle Beweise bleiben erhalten und die flüchtigen Daten im Speicher werden nicht zerstört.

    Was ist ein Speicher-Dump?

    Ein Speicher-Dump oder RAM-Dump ist ein Schnappschuss des Speichers, der für die Speicheranalyse erfasst wurde. Wenn ein RAM-Dump erfasst wird, enthält er Daten zu allen Prozessen, die zum Zeitpunkt der Erfassung ausgeführt wurden.

    Vorteile des Einsatzes von Speicherforensik bei Incident Responses

    Die Reaktion auf einen Cybersicherheitsvorfall ist nicht immer eine einfache Angelegenheit. Möglicherweise speist der angegriffene Server keine Protokolle in das SIEM ein, vielleicht protokolliert er auch überhaupt nicht mehr! Wie kann man also im Rahmen eines Incident Response-Plans damit anfangen, das Gerät zu untersuchen und rechtzeitig Beweise zu sammeln?

    Zunächst muss man bestätigen, dass sich Malware auf dem Gerät befindet, bevor man eine Probe erfassen und mit speziellen Tools mit dem Reverse-Engineering der Malware beginnen kann.

    Die Erstellung eines Abbilds eines Geräts ist oft zeitaufwändig, und anschließend steht man vor dem Problem der Übertragung des Abbilds, das 100 GB groß sein kann, an einen Ort, an dem es analysiert werden kann. Danach müssen Sie berücksichtigen, wie lange die Analyse durch das Incident Response-Team dauern wird.

    Hier kann die Speicheranalyse viele Vorteile für das Team bieten. Während die Festplatte eines Servers oft über 100 GB groß ist, ist der Arbeitsspeicher des Geräts viel kleiner, in der Regel 16 bis 32 GB. Dadurch lässt sich ein RAM-Dump von einem Gerät viel schneller erfassen und ist deutlich kleiner bei der Übertragung.

    Indem der Arbeitsspeicher beim Einordnen eines Vorfalls gegenüber dem Festplatten-Image priorisiert wird, kann man den Arbeitsspeicher-Dump auf IOCs (Kompromittierungsindikatoren) analysieren, während man mit der Arbeit an einem Festplatten-Image beginnt.

    Erfassen des Arbeitsspeichers für die Analyse

    Wenn man auf einen Vorfall reagiert und einen Arbeitsspeicher-Dump benötigt, hängt die Art der Datenerfassung davon ab, ob es sich dabei um ein physisches oder ein virtuelles Gerät handelt.

    Erfassung des Arbeitsspeichers von einem physischen Gerät

    Die Erfassung des Arbeitsspeichers eines physischen Geräts kann mit verschiedenen Tools erfolgen. Ein Tool, das ich in der Vergangenheit häufig verwendet habe und das ich für sehr zuverlässig und einfach zu verwenden halte, ist WinPmem .

    Über den Link oben können Sie entweder eine 64-Bit- oder eine 32-Bit-Version von WinPmem herunterladen. Sobald die richtige Version heruntergeladen wurde, öffnen Sie eine Eingabeaufforderung mit Administratorrechten und navigieren zu dem Ort auf der Festplatte, an den die ausführbare Datei heruntergeladen wurde.

    Tipp: Wenn Sie den Arbeitsspeicher von einem Gerät erfassen, führen Sie das Tool, mit dem Sie den Speicher-Dump durchführen, nach Möglichkeit von einem USB-Gerät aus und speichern Sie die Ausgabe auf einer Netzwerkfreigabe.

    Im folgenden Beispiel habe ich WinPMem in meinem Download-Ordner gespeichert.

    Um mit der Speichererfassung zu beginnen, verwenden Sie die folgende Syntax, um eine Rohausgabedatei zu erstellen:

    winpmem_mini_x64.exe <filename>.raw

    In der obigen Abbildung habe ich die Ausgabedatei als „physmem.raw“ benannt. WinPMem zeigt dann den Fortschritt bei der Erfassung des Arbeitsspeichers an.

    Es wurde eine Datei namens physmem.raw erstellt, die den erfassten Speicher des Geräts darstellt.

    FTK Imager ist ein weiteres Tool, das ich gerne zum Erfassen von Arbeitsspeicher-Dumps verwende. Sobald es installiert ist, wählen Sie „File“ und dann „Capture Memory“.


    Wählen Sie einen Speicherort aus, an dem Sie die Ausgabe speichern möchten, indem Sie auf „Browse“ und dann auf „Capture Memory“ gehen.

    FTK Imager zeigt dann den Fortschritt des Speichererfassungsprozesses an.


    Der Status wird dann aktualisiert, um zu bestätigen, dass die Speichererfassung abgeschlossen ist, und die Ausgabe wird am gewählten Speicherort gespeichert.

    Erfassen des Arbeitsspeichers aus einer virtuellen Maschine

    Die Erfassung des Arbeitsspeichers einer virtuellen Maschine ist einfach, was Ihnen zugute kommt, wenn Sie auf einen Vorfall reagieren müssen und Zeit ein wichtiger Faktor ist.

    Bei der Erstellung eines Schnappschusses einer virtuellen Maschine wird eine vmem-Datei erstellt. Diese kann dann mit einem Tool wie Volatility analysiert werden.

    Tools für die Speicherforensik

    Im Folgenden habe ich einige der Tools aufgelistet, die ich bisher für die Speicheranalyse verwendet habe. Die gute Nachricht ist, dass sie alle kostenlos sind!

    Volatility

    Volatility ist das Tool meiner Wahl für die Speicheranalyse und ist für Windows und Linux verfügbar. Volatility ist ein Befehlszeilentool, mit dem Sie schnell wichtige Informationen herausfinden können, z. B. welche Prozesse auf dem Gerät liefen, welche Netzwerkverbindungen bestanden und welche Prozesse injizierten Code enthielten. Sie können sogar DLLs und Prozesse zur weiteren Analyse dumpen.

    Volatility unterstützt auch die Analyse von Speicher-Dumps von Unix-Geräten, und die Forensik-Community hat eine breite Palette von Plugins entwickelt.

    Ein Problem bei Volatility war, dass ein „Profil“ eingestellt werden musste, das dem Betriebssystem des Geräts entsprach, von dem die Daten erfasst wurden, damit das Tool funktionierte. Dieses Problem wurde jedoch in Volatility 3 behoben, und es muss nun kein Profil mehr eingestellt werden, was die Verwendung des Tools noch einfacher macht.

    Die folgende Abbildung zeigt, wie Volatility zur Analyse einer vmem-Datei verwendet werden kann, wobei kein Betriebssystemprofil angegeben werden muss.

     

    Rekall

    Rekall ist, ähnlich wie Volatility, ein weiteres Befehlszeilentool, wobei es eine Frage der Vorliebe ist, welches der beiden man verwendet.

    Redline

    Redline ist ein Speicheranalyse-Tool, das im Gegensatz zu Volatility und Rekall ein rein GUI-gesteuertes Tool ist. Ein Nachteil der Verwendung von Redline ist, dass es nur die Analyse von Windows-Geräten unterstützt.

    Die folgende Abbildung zeigt, wie einfach es ist, nach bestimmten Prozessen zu filtern, um die Speicheranalyse zu vereinfachen und leichter zugänglich zu machen.

    Wonach sollte man in einem Speicher-Dump suchen?

    Ein Sprichwort, das mir immer im Gedächtnis geblieben ist, lautet: „Malware kann sich zwar verstecken, aber sie muss laufen“. Malware versucht, sich an Stellen zu verstecken, zu denen ein Benutzer nicht navigieren kann. Aber wenn sie ausgeführt wird, läuft auf dem Gerät ein Prozess für die Malware. Die einfachste Möglichkeit, nach Malware zu suchen, besteht also darin, sich die ausgeführten Prozesse auf einem Gerät genau anzusehen.

    Suchen Sie in den Prozesslisten nach Prozessnamen, die Sie nicht erkennen. Erhalten Sie dazu Ergebnisse über Google?

    Ein weiterer guter Ausgangspunkt ist ein Blick auf die Prozessbäume. Schauen Sie sich an, welche Prozesse erstellt wurden und was die übergeordneten Prozesse sind. Sind das Aktivitäten, die Sie erwarten würden?

    Ein guter Tipp ist, auf Prozesse mit legitimen Windows-Namen wie „svchost.exe“ zu achten, Windows-Systemprozesse haben immer festgelegte übergeordnete Prozesse und Ausführungsorte. Wenn Sie feststellen, dass ein Prozess an einem unerwarteten Ort ausgeführt wird, sollten Sie ihn möglicherweise untersuchen.

    Dieses Poster von SANs zum Thema „Jagd auf das Böse“ ist eine hervorragende Ressource zur Identifikation von bösartigen Prozessen.

    Überprüfen Sie die Netzwerkverbindungen. Gibt es irgendwelche ungewöhnlichen Ports, mit denen Sie verbunden sind? Achten Sie auf die so genannten „Pokerhände“, bei denen Angreifer Ports mit denselben Zahlen wie „4444“ oder mit einer bestimmten Schrittweite wie „1234“ eingerichtet haben.

    Abschließende Überlegungen

    Dieser Blog-Beitrag soll veranschaulichen, wie sich die Reaktion auf Vorfälle durch Speicherforensik gut unterstützen lässt. Aus eigener Erfahrung kann ich sagen, dass ich oft in den frühen Morgenstunden angerufen wurde und schnell Anleitungen und Ratschläge zu einer möglichen Malwareinfektion geben musste. Die Möglichkeit, eine vmem-Datei zu erfassen und mithilfe von Volatility Analysen durchzuführen, war eine gute Möglichkeit, den Vorfall schnell einzuordnen.

    Schauen Sie sich an, wie DatAlert und die Datensicherheitsplattform Bedrohungen erkennen und Ihre sensiblen Daten schützen kann, um so die Sicherheitslage Ihres Unternehmens mit Varonis zu verbessern.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Neil Fox
    Neil Fox

    Neil ist ein Cybersicherheitsexperte, der sich auf die Reaktion auf Zwischenfälle und die Analyse von Malware spezialisiert hat. Er erstellt auch Cybersicherheitsinhalte für seinen YouTube-Kanal und seinen Blog 0xf0x.com.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?