Computer-Forensik: Analyse von Angriffen

Status quo bewahren

Das Herunterfahren eines Systems löscht die Inhalte des RAM und temporär angelegte Dateien, darüber hinaus verändert sich der Inhalt und Status unzähliger Systemdateien. Das erneute Hochfahren eines Rechners wiederum verstärkt diese Veränderungen nochmals erheblich. Bei einem Windows- oder Linux-System mit entsprechendem Desktop werden in der Startphase rund 1000 Dateien angefasst. Dabei verändern sich unter anderem die Dateiattribute Letzter Zugriff oder Letzte Änderung.

Ein Grundsatz des Incident Response lautet daher: "Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet." Um eine möglicherweise noch bestehende und missbräuchlich genutzte Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge) zu unterbinden, sollte man maximal die Kommunikationsleitung zum Endgerät selbst trennen (LAN- oder Telefon-Kabel). Sofern eine konkrete Attacke noch andauert, ist die Dokumentation des Verbindungsstatus beispielsweise bei einer Wählverbindung vor dem Trennen der Verbindung wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv. Die dort gezeigte Rufnummer sollte man am besten durch Zeugen und durch Abfotografieren des Bildschirms dokumentieren.

Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unterbleiben, da dies bereits wieder auf dem zu untersuchenden System Daten erzeugt. Diese könnten eine spätere Analyse beeinträchtigen. Überhaupt muss gerade in der ersten Phase des Incident Response darauf geachtet werden, dass die Änderungen an den Systemen so minimal wie irgend möglich ausfallen beziehungsweise ganz unterbleiben.