Kali Linux Workshop, Teil 4

IT-Forensik mit Kali Linux

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen.
Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen. (Bild: Offensive Security)

In vierten Teil unserer Workshop-Serie zu Kali Linux geht es um die forensischen Werkzeuge, die Teil der Pentesting-Distribution sind. Mit diesen Tools lassen sich Daten retten, Images erzeugen, Dateien aufspüren oder auch PDFs auf Malware untersuchen.

Für IT-Forensiker gibt es nur wenige Geheimnisse. Computer und Dateien enthalten nicht nur die offensichtlichen Informationen, sondern jede Menge Metadaten. Diese lassen sich auslesen und für zahlreiche Anwendungsfälle nutzen. So ist es Beispielsweise möglich, vermeintlich gelöschte Daten wiederherzustellen oder sie von einem eigentlich defekten Laufwerk zu kopieren. Andererseits kann man damit auch nach Informationen schnüffeln, die einen nichts angehen. Wie immer in der IT-Sicherheit haben die Tools mehrere Anwendungsfälle, positive wie negative.

Achtung: Eine forensische Untersuchung kann gegen geltendes Recht verstoßen, etwa wenn das Ziel nicht weiß, dass diese Untersuchung durchgeführt wird oder dagegen ist. In diesem Beitrag gehen wir davon aus, dass alle Personen mit der Forensik einverstanden sind. Besondere Vorsicht gilt, wenn die forensischen Daten im Rahmen einer strafrechtlichen Untersuchung erhoben werden. Hier müssen etwa Images besondere Anforderungen erfüllen. Das BSI hat einen sehr guten Leitfaden zu diesem Thema. Der Einfachheit halber setzen wir in diesem Beitrag daher einen Schwerpunkt auf die Rettung eigener Daten sowie praktische Tools für Administratoren. Sobald es um die Daten Dritter geht, sollte man sich rechtliche Beratung und mindestens eine schriftliche Beauftragung einholen.

Kali Linux installieren und Hacking-Lab aufsetzen

Kali Linux Workshop, Teil 1

Kali Linux installieren und Hacking-Lab aufsetzen

20.04.18 - Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. lesen

Informationen sammeln mit Kali Linux

Kali Linux Workshop, Teil 2

Informationen sammeln mit Kali Linux

27.04.18 - Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil dreht sich alles um das Thema Informationen übers Netzwerk sammeln. lesen

Guymager ist ein grafisches Werkzeug, um Images zu erstellen.
Guymager ist ein grafisches Werkzeug, um Images zu erstellen. (Bild: Security Insider)

Guymager

In der Forensik arbeitet man normalerweise nicht mit den „echten“ Daten, sondern untersucht Abbilder, sogenannte Images. Diese lassen sich mit zahlreichen Tools erstellen, auf der Kommandozeile etwa dc3dd. Wer lieber eine grafische Oberfläche vorzieht, findet in Guymager das passende Tool. Über den Menüpunkt “Rescan” lassen sich die angeschlossenen Speicher einlesen. Ein Rechtsklick gibt anschließend die Option für das Erstellen eines Images oder ob das Gerät geklont werden soll. Der Unterschied ist, dass beim Klonen keine Image-Abbild erstellt wird, es lohnt sich etwa um Daten von einem Datenträger zum anderen zu kopieren - etwa beim Umzug von einer Festplatte auf eine andere. Ein Image ist ein digitales Abbild, das anschließend wie eine Festplatte behandelt werden kann.

Mit Foremost lassen sich verlorene Daten wiederfinden.
Mit Foremost lassen sich verlorene Daten wiederfinden. (Bild: Security Insider)

Foremost

Das Programm nutzt Header-Informationen, um nach verlorenen Daten zu suchen. So lassen sich beispielsweise Bilder oder Dokumente auf einer Festplatte oder einer Image-Datei aufspüren. Die jeweils zu suchenden Daten lassen sich wahlweise über Schalter in der Kommandozeile oder eine Konfigurationsdatei definieren. Das Programm benötigt allerdings seine Zeit.

Hashdeep erzeugt Hashwerte für ganze Ordner und alle enthaltene Dateien.
Hashdeep erzeugt Hashwerte für ganze Ordner und alle enthaltene Dateien. (Bild: Security Insider)

Hashdeep

Hash-Werte sind essentiell um die Integrität von Daten auf unterschiedlichen Systemen sicherzustellen. Nur wenn zwei Werte übereinstimmen, wurde die Datei bei der Übertragung nicht verändert. Hashdeep kann diese Daten für ganze Verzeichnisse rekursiv berechnen. Die Daten werden wahlweise direkt im Terminal ausgegeben oder in einer Datei gespeichert.

DDrescue kopiert Daten von defekten Speichermedien, defekte Blöcke werden ignoriert.
DDrescue kopiert Daten von defekten Speichermedien, defekte Blöcke werden ignoriert. (Bild: Security Insider)

DDrescue

Defekte Festplatten oder USB-Sticks mit wichtigen Dokumenten darauf - das ist ein Fall für DDrescue. Das Programm kopiert Informationen blockweise und achtet dabei nicht, ob die gespeicherten Daten auch lesbar sind. Kann ein Block nicht übertragen werden, überspringt DDrescue diesen und kopiert den nächsten. Nach Abschluss des Kopiervorgangs lassen sich die übertragenen Daten mit klassischen Tools auslesen. Es kann dabei sein, dass etwa Bilder oder Dokumente zumindest noch teilweise vorhanden sind.

Scrounge-ntfs

Scrounge-ntfs ähnelt DDrescue, ist aber auf das Windows-Dateisystem optimiert. Es liest jeden Block des angegebenen Datenträgers und baut das Dateisystem auf einer anderen Partition oder einem Verzeichnis wieder auf. Damit lassen sich neben kaputten Informationen potentiell auch gelöschte Dateien wiederherstellen. Scrounge-ntfs benötigt Anfang und Ende der jeweiligen Partition. Diese Informationen gibt der Parameter -l gefolgt vom /dev/-Verzeichnis des eingehängten Datenträgers preis.

Mit dem PDF Parser lassen sich potentiell bösartige PDF-Dateien untersuchen, ohne dass sie geöffnet werden müssen.
Mit dem PDF Parser lassen sich potentiell bösartige PDF-Dateien untersuchen, ohne dass sie geöffnet werden müssen. (Bild: Security Insider)

Pdf-parser

Dieses Programm ist eine Ausnahme zum Thema Datenrettung und -Wiederherstellung. Pdf-parser untersucht PDF-Dateien auf ihre Inhalte, ohne diese dabei zu rendern. Das ist etwa dann wichtig, wenn in der Datei eine potentielle Malware steckt. Typischerweise senden etwa Kriminelle solche Dokumente in Spear-Phishing-Attacken mit, getarnt als Angebot, Rechnung oder Lebenslauf. Pdf-parser macht es möglich, diese Dokumente zu untersuchen, ohne dass die Inhalte gelesen werden. Eine perfekte Beispieldatei kommt von Didier Stevens. Er hat die EICAR-Datei, eine harmlose Testdatei für Viren-Programme, in ein PDF eingebaut. In pdf-parser ist das sehr gut zu sehen, die Datei taucht gleich zu Beginn unter “EmbeddedFiles” auf. Pdf-parser ist ein praktisches Werkzeug, mit dem Admins schnell sehen können, was in einer potentiell gefährlichen Datei steckt.

Fazit

IT-Forensik ist ein faszinierendes Thema in das man schnell versinken kann. Es macht Spaß, sich durch die Eingeweide eines IT-Systems zu graben und dort nach versteckten Daten zu suchen. Gleichzeitig kann das Wissen um die richtigen Tools und Vorgehensweisen wichtige Dateien retten, etwa bei defekten Speichermedien. Die angesprochenen Tools kratzen nur an der Oberfläche dessen, wozu die Werkzeuge in Kali fähig sind. Andere Bereiche, etwa die Analyse von Speicherabbildern können weitere wertvolle Informationen enthüllen, allerdings begibt man sich damit in eine dunkelgraue rechtliche Zone.

Schwachstellenanalyse mit Kali Linux

Kali Linux Workshop, Teil 3

Schwachstellenanalyse mit Kali Linux

04.05.18 - Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Wir stellen einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45221742 / Security-Testing)