4
Auswertung von infiziertem Rechner (interne DoS-Attacke)
Hallo Forum
ein Rechner aus dem eigenen lokalen Netzwerk hat sich in irgendeinerweise etwas eingefangen
und in Folge dessen eine ICMPv6 DoS Attacke aus dem inneren gestartet
der Rechner wurde lokalisiert und vom Netzwerk isoliert
so weit so schön ...
Die Frage die mir aber unter den Nägeln brennt
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Vielen Dank für euren Rat 👍
ein Rechner aus dem eigenen lokalen Netzwerk hat sich in irgendeinerweise etwas eingefangen
und in Folge dessen eine ICMPv6 DoS Attacke aus dem inneren gestartet
der Rechner wurde lokalisiert und vom Netzwerk isoliert
so weit so schön ...
Die Frage die mir aber unter den Nägeln brennt
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Vielen Dank für euren Rat 👍
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3092340486
Url: https://administrator.de/contentid/3092340486
Printed on: April 28, 2024 at 09:04 o'clock
4 Comments
Latest comment
Hallo,
auf einem PC oder Laptop Linux installieren, eine Dockingstation besorgen und die alte HDD/SSD des
PCs nehmen und die dann dort auf eine neue klonen! Danach diese dann in Linux read only mounten
und nachschauen was dort denn auffällig ist. Alternativ kannst Du auch mittels Desinfec`t 2022
die Platte scannen. Ist gerade diesen Monat im Handel käuflich zu erstehen.
Dobby
auf einem PC oder Laptop Linux installieren, eine Dockingstation besorgen und die alte HDD/SSD des
PCs nehmen und die dann dort auf eine neue klonen! Danach diese dann in Linux read only mounten
und nachschauen was dort denn auffällig ist. Alternativ kannst Du auch mittels Desinfec`t 2022
die Platte scannen. Ist gerade diesen Monat im Handel käuflich zu erstehen.
Dobby
3
Hallo,
Die meisten von uns machen wie du Erste Hilfe, aber keine Forensische Untersuchung oder Wissenschaftliche Auswertungen danach.
https://de.wikipedia.org/wiki/Forensisches_Duplikat
https://www.cleverfiles.com/howto/de/computer-forensic.html
https://www.dr-datenschutz.de/die-sicherung-von-datentraegern-in-der-it- ...
https://m.heise.de/security/artikel/Computer-Forensik-mit-Open-Source-To ...
https://scheible.it/datenspeicher-mit-dd-und-dc3dd-sichern/
https://www.festplattendoktor.at/Forensik
Gruß,
Peter
Zitat von @mcht2021:
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Kommt drauf an was du finden willst. Die GoldNuggets ausm Spannungsabfall zu fischen ist umständlicher als den Fahradfahrenden Goldfisch wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Die meisten von uns machen wie du Erste Hilfe, aber keine Forensische Untersuchung oder Wissenschaftliche Auswertungen danach.Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Bedenke, dein OS sollte auf andere Datenträger laufen als dein zu Untersuchendes Objekt. Und sollte es ein Windows sein, zerstört schon das Einschalten (weil das OS schon beim Hochfahren jede Menge Daten Schreibt/Überschreibt).https://de.wikipedia.org/wiki/Forensisches_Duplikat
https://www.cleverfiles.com/howto/de/computer-forensic.html
https://www.dr-datenschutz.de/die-sicherung-von-datentraegern-in-der-it- ...
https://m.heise.de/security/artikel/Computer-Forensik-mit-Open-Source-To ...
https://scheible.it/datenspeicher-mit-dd-und-dc3dd-sichern/
https://www.festplattendoktor.at/Forensik
Gruß,
Peter
Hallo,
zuerst werden Beweise vom laufenden Rechner gesammelt, idealerweise durch ein RAM-Image, zumindest aber Prozessliste und Metriken. Je nach verfügbaren Werkzeugen kann das sinnvoll sein, noch bevor der Angriff sonst unterbrochen oder gestört wird.
Dann wird der Rechner ohne Herunterfahren ausgeschaltet bzw. vom Strom getrennt, Fesplatten- und Firmware(-Konfigurations)-Images gezogen und das untersucht. Das RAM-Image gibt in in der Regel den meisten Aufschluss, weil nicht zwingend etwas auf die Festplatte geschrieben wird. Beim Festplatten-Image und dortigen Spuren wird man im einfachsten Fall durch Zeitstempel existierender Dateien geleitet, ansonsten kann man praktisch alles durchgehen: Relevante Verzeichnisse (Caches, Temp etc), gelöschte Dateien, freier Speicherplatz/Hinweise auf Overlay-FS. Firmware sollte natürlich mit der offiziellen übereinstimmen, und ihre Konfigurationsdaten dazu passen; das zu verifizieren, kann ohne Herstellerwissen schwierig oder unmöglich sein.
Grüße
Richard
zuerst werden Beweise vom laufenden Rechner gesammelt, idealerweise durch ein RAM-Image, zumindest aber Prozessliste und Metriken. Je nach verfügbaren Werkzeugen kann das sinnvoll sein, noch bevor der Angriff sonst unterbrochen oder gestört wird.
Dann wird der Rechner ohne Herunterfahren ausgeschaltet bzw. vom Strom getrennt, Fesplatten- und Firmware(-Konfigurations)-Images gezogen und das untersucht. Das RAM-Image gibt in in der Regel den meisten Aufschluss, weil nicht zwingend etwas auf die Festplatte geschrieben wird. Beim Festplatten-Image und dortigen Spuren wird man im einfachsten Fall durch Zeitstempel existierender Dateien geleitet, ansonsten kann man praktisch alles durchgehen: Relevante Verzeichnisse (Caches, Temp etc), gelöschte Dateien, freier Speicherplatz/Hinweise auf Overlay-FS. Firmware sollte natürlich mit der offiziellen übereinstimmen, und ihre Konfigurationsdaten dazu passen; das zu verifizieren, kann ohne Herstellerwissen schwierig oder unmöglich sein.
Grüße
Richard
ich Danke für eure Tipps
so kommt schon einmal etwas Licht ins Dunkel 😅
so kommt schon einmal etwas Licht ins Dunkel 😅
