Der Inside-Out-Sicherheits Blog Blog   /  

Speicherforensik für die Incident Responses

Speicherforensik für die Vorfallsreaktion | Varonis

Bei der Reaktion auf einen Cybersicherheitsvorfall ist die Speicherforensik immer eine wichtige Methode Durch die Erfassung des Speichers eines kompromittierten Geräts können Sie schnell bestimmte Analysen durchführen, um potenzielle Malware zu identifizieren und IOCs zu sammeln, die dann zur Identifizierung anderer kompromittierter Geräte verwendet werden können.

In diesem Artikel werde ich die folgenden Themen behandeln:

  • Einen Überblick über die Speicherforensik bieten
  • Erklären, was flüchtige Daten sind und warum sie für Speicherforensik relevant sind
  • Erklären, was ein Speicher-/RAM-Dump ist
  • Skizzieren, welche Vorteile die Speicheranalyse bietet
  • Einen Überblick über einige gängige Tools bieten, die für die Speicheranalyse verwendet werden können

Übersicht der Speicherforensik

Speicherforensik ist der Prozess der Erfassung des laufenden Speichers eines Geräts und der anschließenden Analyse der erfassten Ausgabe auf Anzeichen bösartiger Software. Im Gegensatz zur Festplattenforensik, bei der das Dateisystem eines Geräts geklont wird und jede Datei auf der Festplatte wiederhergestellt und analysiert werden kann, konzentriert sich die Speicherforensik auf die tatsächlichen Programme, die auf einem Gerät ausgeführt wurden, als der Speicher-Dump erfasst wurde.

Der Arbeitsspeicher eines Geräts wird als Random Access Memory (RAM) bezeichnet. Beim Kauf eines neuen Laptops finden Sie daher als Teil der Spezifikation die Größe der Festplatte, z. B. 1 TB, und die Größe des Arbeitsspeichers, z. B. 16 GB.

Wenn eine Anwendung auf einem Gerät geöffnet wird, wird dieser Anwendung eine bestimmte Menge an Arbeitsspeicher zugewiesen, damit sie ausgeführt werden kann; wenn Anwendungen geöffnet werden, muss das Gerät mehr Arbeitsspeicher zuweisen. Aus diesem Grund sind Geräte mit einem größeren Arbeitsspeicher schneller, da sie mehr Anwendungen gleichzeitig ausführen können.

Was sind flüchtige Daten?

Jede Person, die mit Sicherheitsvorfällen arbeitet, sollte mit dem Konzept der flüchtigen Daten vertraut sein, denn bei einem kompromittierten Gerät besteht eine der ersten Reaktionen darin, das Gerät auszuschalten, um die Bedrohung einzudämmen.

Das Problem bei diesem Ansatz ist, dass jede Malware, die auf dem Gerät läuft, im Speicher ausgeführt wird. Dadurch gehen alle Netzwerkverbindungen und laufenden Prozesse verloren, da die Malware im Speicher gelaufen ist und diese Daten nun verloren sind. Solche flüchtigen Daten werden nicht auf die Festplatte geschrieben und ändern sich ständig im Speicher, so dass wertvolle Beweise zerstört werden, wenn das Gerät abgeschaltet wird.

Die Netzwerkeindämmung (Isolierung des Geräts vom Rest des Netzwerks) ist die bevorzugte Option bei der Isolierung eines kompromittierten Geräts. Mit dieser Methode wird der Vorfall sicher eingedämmt, wertvolle Beweise bleiben erhalten und die flüchtigen Daten im Speicher werden nicht zerstört.

Was ist ein Speicher-Dump?

Ein Speicher-Dump oder RAM-Dump ist ein Schnappschuss des Speichers, der für die Speicheranalyse erfasst wurde. Wenn ein RAM-Dump erfasst wird, enthält er Daten zu allen Prozessen, die zum Zeitpunkt der Erfassung ausgeführt wurden.

Vorteile des Einsatzes von Speicherforensik bei Incident Responses

Die Reaktion auf einen Cybersicherheitsvorfall ist nicht immer eine einfache Angelegenheit. Möglicherweise speist der angegriffene Server keine Protokolle in das SIEM ein, vielleicht protokolliert er auch überhaupt nicht mehr! Wie kann man also im Rahmen eines Incident Response-Plans damit anfangen, das Gerät zu untersuchen und rechtzeitig Beweise zu sammeln?

Zunächst muss man bestätigen, dass sich Malware auf dem Gerät befindet, bevor man eine Probe erfassen und mit speziellen Tools mit dem Reverse-Engineering der Malware beginnen kann.

Die Erstellung eines Abbilds eines Geräts ist oft zeitaufwändig, und anschließend steht man vor dem Problem der Übertragung des Abbilds, das 100 GB groß sein kann, an einen Ort, an dem es analysiert werden kann. Danach müssen Sie berücksichtigen, wie lange die Analyse durch das Incident Response-Team dauern wird.

Hier kann die Speicheranalyse viele Vorteile für das Team bieten. Während die Festplatte eines Servers oft über 100 GB groß ist, ist der Arbeitsspeicher des Geräts viel kleiner, in der Regel 16 bis 32 GB. Dadurch lässt sich ein RAM-Dump von einem Gerät viel schneller erfassen und ist deutlich kleiner bei der Übertragung.

Indem der Arbeitsspeicher beim Einordnen eines Vorfalls gegenüber dem Festplatten-Image priorisiert wird, kann man den Arbeitsspeicher-Dump auf IOCs (Kompromittierungsindikatoren) analysieren, während man mit der Arbeit an einem Festplatten-Image beginnt.

Erfassen des Arbeitsspeichers für die Analyse

Wenn man auf einen Vorfall reagiert und einen Arbeitsspeicher-Dump benötigt, hängt die Art der Datenerfassung davon ab, ob es sich dabei um ein physisches oder ein virtuelles Gerät handelt.

Erfassung des Arbeitsspeichers von einem physischen Gerät

Die Erfassung des Arbeitsspeichers eines physischen Geräts kann mit verschiedenen Tools erfolgen. Ein Tool, das ich in der Vergangenheit häufig verwendet habe und das ich für sehr zuverlässig und einfach zu verwenden halte, ist WinPmem .

Über den Link oben können Sie entweder eine 64-Bit- oder eine 32-Bit-Version von WinPmem herunterladen. Sobald die richtige Version heruntergeladen wurde, öffnen Sie eine Eingabeaufforderung mit Administratorrechten und navigieren zu dem Ort auf der Festplatte, an den die ausführbare Datei heruntergeladen wurde.

Tipp: Wenn Sie den Arbeitsspeicher von einem Gerät erfassen, führen Sie das Tool, mit dem Sie den Speicher-Dump durchführen, nach Möglichkeit von einem USB-Gerät aus und speichern Sie die Ausgabe auf einer Netzwerkfreigabe.

Im folgenden Beispiel habe ich WinPMem in meinem Download-Ordner gespeichert.

Um mit der Speichererfassung zu beginnen, verwenden Sie die folgende Syntax, um eine Rohausgabedatei zu erstellen:

winpmem_mini_x64.exe <filename>.raw

In der obigen Abbildung habe ich die Ausgabedatei als „physmem.raw“ benannt. WinPMem zeigt dann den Fortschritt bei der Erfassung des Arbeitsspeichers an.

Es wurde eine Datei namens physmem.raw erstellt, die den erfassten Speicher des Geräts darstellt.

FTK Imager ist ein weiteres Tool, das ich gerne zum Erfassen von Arbeitsspeicher-Dumps verwende. Sobald es installiert ist, wählen Sie „File“ und dann „Capture Memory“.


Wählen Sie einen Speicherort aus, an dem Sie die Ausgabe speichern möchten, indem Sie auf „Browse“ und dann auf „Capture Memory“ gehen.

FTK Imager zeigt dann den Fortschritt des Speichererfassungsprozesses an.


Der Status wird dann aktualisiert, um zu bestätigen, dass die Speichererfassung abgeschlossen ist, und die Ausgabe wird am gewählten Speicherort gespeichert.

Erfassen des Arbeitsspeichers aus einer virtuellen Maschine

Die Erfassung des Arbeitsspeichers einer virtuellen Maschine ist einfach, was Ihnen zugute kommt, wenn Sie auf einen Vorfall reagieren müssen und Zeit ein wichtiger Faktor ist.

Bei der Erstellung eines Schnappschusses einer virtuellen Maschine wird eine vmem-Datei erstellt. Diese kann dann mit einem Tool wie Volatility analysiert werden.

Tools für die Speicherforensik

Im Folgenden habe ich einige der Tools aufgelistet, die ich bisher für die Speicheranalyse verwendet habe. Die gute Nachricht ist, dass sie alle kostenlos sind!

Volatility

Volatility ist das Tool meiner Wahl für die Speicheranalyse und ist für Windows und Linux verfügbar. Volatility ist ein Befehlszeilentool, mit dem Sie schnell wichtige Informationen herausfinden können, z. B. welche Prozesse auf dem Gerät liefen, welche Netzwerkverbindungen bestanden und welche Prozesse injizierten Code enthielten. Sie können sogar DLLs und Prozesse zur weiteren Analyse dumpen.

Volatility unterstützt auch die Analyse von Speicher-Dumps von Unix-Geräten, und die Forensik-Community hat eine breite Palette von Plugins entwickelt.

Ein Problem bei Volatility war, dass ein „Profil“ eingestellt werden musste, das dem Betriebssystem des Geräts entsprach, von dem die Daten erfasst wurden, damit das Tool funktionierte. Dieses Problem wurde jedoch in Volatility 3 behoben, und es muss nun kein Profil mehr eingestellt werden, was die Verwendung des Tools noch einfacher macht.

Die folgende Abbildung zeigt, wie Volatility zur Analyse einer vmem-Datei verwendet werden kann, wobei kein Betriebssystemprofil angegeben werden muss.

 

Rekall

Rekall ist, ähnlich wie Volatility, ein weiteres Befehlszeilentool, wobei es eine Frage der Vorliebe ist, welches der beiden man verwendet.

Redline

Redline ist ein Speicheranalyse-Tool, das im Gegensatz zu Volatility und Rekall ein rein GUI-gesteuertes Tool ist. Ein Nachteil der Verwendung von Redline ist, dass es nur die Analyse von Windows-Geräten unterstützt.

Die folgende Abbildung zeigt, wie einfach es ist, nach bestimmten Prozessen zu filtern, um die Speicheranalyse zu vereinfachen und leichter zugänglich zu machen.

Wonach sollte man in einem Speicher-Dump suchen?

Ein Sprichwort, das mir immer im Gedächtnis geblieben ist, lautet: „Malware kann sich zwar verstecken, aber sie muss laufen“. Malware versucht, sich an Stellen zu verstecken, zu denen ein Benutzer nicht navigieren kann. Aber wenn sie ausgeführt wird, läuft auf dem Gerät ein Prozess für die Malware. Die einfachste Möglichkeit, nach Malware zu suchen, besteht also darin, sich die ausgeführten Prozesse auf einem Gerät genau anzusehen.

Suchen Sie in den Prozesslisten nach Prozessnamen, die Sie nicht erkennen. Erhalten Sie dazu Ergebnisse über Google?

Ein weiterer guter Ausgangspunkt ist ein Blick auf die Prozessbäume. Schauen Sie sich an, welche Prozesse erstellt wurden und was die übergeordneten Prozesse sind. Sind das Aktivitäten, die Sie erwarten würden?

Ein guter Tipp ist, auf Prozesse mit legitimen Windows-Namen wie „svchost.exe“ zu achten, Windows-Systemprozesse haben immer festgelegte übergeordnete Prozesse und Ausführungsorte. Wenn Sie feststellen, dass ein Prozess an einem unerwarteten Ort ausgeführt wird, sollten Sie ihn möglicherweise untersuchen.

Dieses Poster von SANs zum Thema „Jagd auf das Böse“ ist eine hervorragende Ressource zur Identifikation von bösartigen Prozessen.

Überprüfen Sie die Netzwerkverbindungen. Gibt es irgendwelche ungewöhnlichen Ports, mit denen Sie verbunden sind? Achten Sie auf die so genannten „Pokerhände“, bei denen Angreifer Ports mit denselben Zahlen wie „4444“ oder mit einer bestimmten Schrittweite wie „1234“ eingerichtet haben.

Abschließende Überlegungen

Dieser Blog-Beitrag soll veranschaulichen, wie sich die Reaktion auf Vorfälle durch Speicherforensik gut unterstützen lässt. Aus eigener Erfahrung kann ich sagen, dass ich oft in den frühen Morgenstunden angerufen wurde und schnell Anleitungen und Ratschläge zu einer möglichen Malwareinfektion geben musste. Die Möglichkeit, eine vmem-Datei zu erfassen und mithilfe von Volatility Analysen durchzuführen, war eine gute Möglichkeit, den Vorfall schnell einzuordnen.

Schauen Sie sich an, wie DatAlert und die Datensicherheitsplattform Bedrohungen erkennen und Ihre sensiblen Daten schützen kann, um so die Sicherheitslage Ihres Unternehmens mit Varonis zu verbessern.

Wir sind Varonis.

Seit 2005 schützen wir, mit unserer Datensicherheits- plattform, wertvolle Daten von Unternehmen in aller Welt, vor feindlichen Übergriffen.

Wie Varonis funktioniert