mcht2021
Goto Top

Auswertung von infiziertem Rechner (interne DoS-Attacke)

Hallo Forum

ein Rechner aus dem eigenen lokalen Netzwerk hat sich in irgendeinerweise etwas eingefangen
und in Folge dessen eine ICMPv6 DoS Attacke aus dem inneren gestartet

der Rechner wurde lokalisiert und vom Netzwerk isoliert
so weit so schön ...

Die Frage die mir aber unter den Nägeln brennt
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?

Vielen Dank für euren Rat 👍

Content-ID: 3092340486

Url: https://administrator.de/forum/auswertung-von-infiziertem-rechner-interne-dos-attacke-3092340486.html

Ausgedruckt am: 27.12.2024 um 12:12 Uhr

108012
108012 16.06.2022 um 17:15:59 Uhr
Goto Top
Hallo,

auf einem PC oder Laptop Linux installieren, eine Dockingstation besorgen und die alte HDD/SSD des
PCs nehmen und die dann dort auf eine neue klonen! Danach diese dann in Linux read only mounten
und nachschauen was dort denn auffällig ist. Alternativ kannst Du auch mittels Desinfec`t 2022
die Platte scannen. Ist gerade diesen Monat im Handel käuflich zu erstehen.

Dobby
Pjordorf
Pjordorf 16.06.2022 um 19:15:56 Uhr
Goto Top
Hallo,

Zitat von @mcht2021:
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Kommt drauf an was du finden willst. Die GoldNuggets ausm Spannungsabfall zu fischen ist umständlicher als den Fahradfahrenden Goldfisch face-smile Die meisten von uns machen wie du Erste Hilfe, aber keine Forensische Untersuchung oder Wissenschaftliche Auswertungen danach.

Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Bedenke, dein OS sollte auf andere Datenträger laufen als dein zu Untersuchendes Objekt. Und sollte es ein Windows sein, zerstört schon das Einschalten (weil das OS schon beim Hochfahren jede Menge Daten Schreibt/Überschreibt).
https://de.wikipedia.org/wiki/Forensisches_Duplikat
https://www.cleverfiles.com/howto/de/computer-forensic.html
https://www.dr-datenschutz.de/die-sicherung-von-datentraegern-in-der-it- ...
https://m.heise.de/security/artikel/Computer-Forensik-mit-Open-Source-To ...
https://scheible.it/datenspeicher-mit-dd-und-dc3dd-sichern/
https://www.festplattendoktor.at/Forensik

Gruß,
Peter
C.R.S.
C.R.S. 16.06.2022 um 19:33:10 Uhr
Goto Top
Hallo,

zuerst werden Beweise vom laufenden Rechner gesammelt, idealerweise durch ein RAM-Image, zumindest aber Prozessliste und Metriken. Je nach verfügbaren Werkzeugen kann das sinnvoll sein, noch bevor der Angriff sonst unterbrochen oder gestört wird.
Dann wird der Rechner ohne Herunterfahren ausgeschaltet bzw. vom Strom getrennt, Fesplatten- und Firmware(-Konfigurations)-Images gezogen und das untersucht. Das RAM-Image gibt in in der Regel den meisten Aufschluss, weil nicht zwingend etwas auf die Festplatte geschrieben wird. Beim Festplatten-Image und dortigen Spuren wird man im einfachsten Fall durch Zeitstempel existierender Dateien geleitet, ansonsten kann man praktisch alles durchgehen: Relevante Verzeichnisse (Caches, Temp etc), gelöschte Dateien, freier Speicherplatz/Hinweise auf Overlay-FS. Firmware sollte natürlich mit der offiziellen übereinstimmen, und ihre Konfigurationsdaten dazu passen; das zu verifizieren, kann ohne Herstellerwissen schwierig oder unmöglich sein.

Grüße
Richard
mcht2021
mcht2021 20.06.2022 um 10:02:24 Uhr
Goto Top
ich Danke für eure Tipps
so kommt schon einmal etwas Licht ins Dunkel 😅