Forensische Informatik - Cheatsheet

Verwendung von Software-Tools zur Beweissicherung

Definition:

Einsatz von speziellen Software-Tools, um digitale Beweise zu sammeln, zu sichern und zu analysieren

Details:

• Beweissicherung: Integrität und Authentizität der Daten erhalten
• Forensische Tools: EnCase, FTK, Sleuth Kit
• Sicherung: Erstellung von forensischen Images (Bit-für-Bit-Kopien)
• Analyse: Dateisystem, Meta-Daten, gelöschte Daten
• Dokumentation: Jeder Schritt muss protokolliert werden
• Gesetzliche Vorgaben: Einhaltung von Richtlinien und Standards
• Wichtigkeit der Chain of Custody' (Beweiskette)

Techniken zur Wiederherstellung gelöschter Dateien

Definition:

Techniken und Methoden zur Wiederherstellung gelöschter Dateien und Daten.

Details:

• Dateisysteme: NTFS, FAT, ext3/4 beeinflusst Wiederherstellungsmethoden.
• Gelöschte Dateien: Oft nur als gelöscht markiert, aber Daten bleiben physisch bestehen.
• Werkzeuge: Software wie PhotoRec, TestDisk, Recuva.
• Forensische Methoden: Image-Erstellung, sektorweise Analyse zur Vermeidung von Datenänderung.
• Datenfragmentierung: Schwierigkeiten bei fragmentierten Dateien.
• Metadaten: Analyse von Dateiattributen und Verweisen.

Überwachung des Netzwerkverkehrs und Protokollanalyse

Definition:

Überwachung des Netzwerkverkehrs und Protokollanalyse: Basis für die Erkennung und Untersuchung von Sicherheitsvorfällen. Sammlung, Analyse und Vergleich von Netzwerkdaten und Protokollen.

Details:

• Netzwerkverkehr überwachen: Paket-Sniffing, Flow-Basiertes Monitoring
• Anwendungsprotokolle analysieren: HTTP, FTP, DNS, etc.
• Werkzeuge: Wireshark, tcpdump, Zeek
• Ziele: Identifikation von Anomalien, Malicious Traffic, Datenexfiltration
• Fragmente, Checksum-Prüfungen
• Protokollanalysen: Inhalt, Header, Payload
• \textbf{TCP/IP}: Analyse der \textit{Layers} (Physical, Data Link, Network, Transport, Application)
• \textbf{Wireshark}: Filter, Capture, Follow TCP Stream

Gesetze und Vorschriften für die Datensicherung und Datenschutz

Definition:

Regeln und Gesetze zum Schutz von Daten und zur Sicherstellung ihrer Verfügbarkeit und Integrität.

Details:

• DSGVO (Datenschutz-Grundverordnung): Regelt den Datenschutz und die Sicherheit personenbezogener Daten in der EU.
• BDSG (Bundesdatenschutzgesetz): Deutsches Gesetz, ergänzt die DSGVO und regelt nationale Datenschutzpflichten.
• TOMs (Technische und Organisatorische Maßnahmen): Maßnahmen, die gemäß DSGVO und BDSG ergriffen werden müssen, um Daten zu schützen.
• ISO/IEC 27001: Internationaler Standard für Informationssicherheits-Managementsysteme.
• HGB (Handelsgesetzbuch): Beinhaltet Regelungen zur Aufbewahrung und Sicherung von Geschäftsdaten.

Verhaltensanalyse von schädlicher Software

Definition:

Untersuchung des Verhaltens von Malware, um Funktionsweise und Ziele zu erkennen.

Details:

• Beobachten der Ausführungsumgebung (Sandboxing)
• Aufzeichnen und Analysieren des Netzwerkverkehrs
• Überprüfung auf System- und Registry-Änderungen
• Dateisystem-Aktivitäten überwachen
• API- und Dateizugriffe protokollieren
• Reverse Engineering zur tiefgehenden Analyse verwenden
• Ziel: Malware klassifizieren und Abwehrmaßnahmen entwickeln

Verfahren zur Sicherung von Festplattenabbildern und Einsatz von Write-Blockern

Definition:

Verfahren zur Sicherung von Festplattenabbildern: Methoden zur Erstellung exakter Kopien von Festplatteninhalten für forensische Analysen.Einsatz von Write-Blockern: Geräte, die Schreibzugriffe auf Datenträger während der Datensicherung verhindern und somit die Integrität der Beweise gewährleisten.

Details:

• Datenintegrität sicherstellen durch Read-Only-Zugriff.
• Vermeidung von Veränderungen durch Schreibschutz.
• Nutzung von Software- und Hardware-Write-Blockern.
• Forensisch korrekte Sicherung: bitgenaue Kopie (bitstream image).
• Tools: FTK Imager, EnCase, dd, dcfldd.

Identifizierung von C2-Servern und anderen bösartigen Akteuren

Definition:

Techniken zur Erkennung und Analyse von Command-and-Control-Servern (C2-Servern) sowie anderen bösartigen Akteuren in Netzwerken und Systemen.

Details:

• Netzwerkverkehrsanalyse: Ungewöhnliche Muster, Anomalien, verdächtige IP-Adressen beobachten
• Endpoint-Überwachung: Log-Dateien analysieren, ungewöhnliche Prozesse und Verbindungen erkennen
• Signaturbasierte Erkennung: Bekannte Malwaresignaturen und Kommunikationsprotokolle nutzen
• Verhaltensbasierte Erkennung: Machine Learning und statistische Modelle zur Identifikation von Anomalien
• Threat Intelligence: Informationen von Sicherheitsdiensten und -gemeinschaften nutzen
• DNS-Überwachung: Ungewöhnliche Domain-Anfragen und -Auflösungen überprüfen
• Sandbox-Analyse: Verdächtige Dateien und Aktivitäten in isolierten Umgebungen testen

Dokumentation und Berichterstattung in Gerichtsverfahren

Definition:

Dokumentation und Berichterstattung umfassen das Erstellen und Präsentieren von Beweisen in Gerichtsverfahren. Ziel ist es, klare, objektive und nachvollziehbare Informationen bereitzustellen.

Details:

• Sorgfältige Aufzeichnung aller Schritte zur Sicherstellung der Beweiskette
• Verwendung standardisierter Vorlagen und Formate
• Erstellung detaillierter Berichte, die methodisch und verständlich sind
• Bereitstellung von visuellen/forensischen Beweisen in verständlicher Form
• Häufige Abstimmung mit rechtlichen Experten
• Einhaltung relevanter gesetzlicher und regulatorischer Vorgaben
• Beweisführung muss gerichtsfest, wiederholbar und transparent sein
• Richtlinie der **Chain-of-Custody** beachten