4
Auswertung von infiziertem Rechner (interne DoS-Attacke)
Hallo Forum
ein Rechner aus dem eigenen lokalen Netzwerk hat sich in irgendeinerweise etwas eingefangen
und in Folge dessen eine ICMPv6 DoS Attacke aus dem inneren gestartet
der Rechner wurde lokalisiert und vom Netzwerk isoliert
so weit so schön ...
Die Frage die mir aber unter den Nägeln brennt
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Vielen Dank für euren Rat 👍
ein Rechner aus dem eigenen lokalen Netzwerk hat sich in irgendeinerweise etwas eingefangen
und in Folge dessen eine ICMPv6 DoS Attacke aus dem inneren gestartet
der Rechner wurde lokalisiert und vom Netzwerk isoliert
so weit so schön ...
Die Frage die mir aber unter den Nägeln brennt
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Vielen Dank für euren Rat 👍
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3092340486
Url: https://administrator.de/contentid/3092340486
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
auf einem PC oder Laptop Linux installieren, eine Dockingstation besorgen und die alte HDD/SSD des
PCs nehmen und die dann dort auf eine neue klonen! Danach diese dann in Linux read only mounten
und nachschauen was dort denn auffällig ist. Alternativ kannst Du auch mittels Desinfec`t 2022
die Platte scannen. Ist gerade diesen Monat im Handel käuflich zu erstehen.
Dobby
auf einem PC oder Laptop Linux installieren, eine Dockingstation besorgen und die alte HDD/SSD des
PCs nehmen und die dann dort auf eine neue klonen! Danach diese dann in Linux read only mounten
und nachschauen was dort denn auffällig ist. Alternativ kannst Du auch mittels Desinfec`t 2022
die Platte scannen. Ist gerade diesen Monat im Handel käuflich zu erstehen.
Dobby
3
Hallo,
Die meisten von uns machen wie du Erste Hilfe, aber keine Forensische Untersuchung oder Wissenschaftliche Auswertungen danach.
https://de.wikipedia.org/wiki/Forensisches_Duplikat
https://www.cleverfiles.com/howto/de/computer-forensic.html
https://www.dr-datenschutz.de/die-sicherung-von-datentraegern-in-der-it- ...
https://m.heise.de/security/artikel/Computer-Forensik-mit-Open-Source-To ...
https://scheible.it/datenspeicher-mit-dd-und-dc3dd-sichern/
https://www.festplattendoktor.at/Forensik
Gruß,
Peter
Zitat von @mcht2021:
wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Kommt drauf an was du finden willst. Die GoldNuggets ausm Spannungsabfall zu fischen ist umständlicher als den Fahradfahrenden Goldfisch wie ist die übliche herangehensweise bei der anschließenden Untersuchung dieses Systems?
Die meisten von uns machen wie du Erste Hilfe, aber keine Forensische Untersuchung oder Wissenschaftliche Auswertungen danach.Gibt es Best-Practise Methoden oder wie würdet ihr den Vorfall aufklären?
Bedenke, dein OS sollte auf andere Datenträger laufen als dein zu Untersuchendes Objekt. Und sollte es ein Windows sein, zerstört schon das Einschalten (weil das OS schon beim Hochfahren jede Menge Daten Schreibt/Überschreibt).https://de.wikipedia.org/wiki/Forensisches_Duplikat
https://www.cleverfiles.com/howto/de/computer-forensic.html
https://www.dr-datenschutz.de/die-sicherung-von-datentraegern-in-der-it- ...
https://m.heise.de/security/artikel/Computer-Forensik-mit-Open-Source-To ...
https://scheible.it/datenspeicher-mit-dd-und-dc3dd-sichern/
https://www.festplattendoktor.at/Forensik
Gruß,
Peter
Hallo,
zuerst werden Beweise vom laufenden Rechner gesammelt, idealerweise durch ein RAM-Image, zumindest aber Prozessliste und Metriken. Je nach verfügbaren Werkzeugen kann das sinnvoll sein, noch bevor der Angriff sonst unterbrochen oder gestört wird.
Dann wird der Rechner ohne Herunterfahren ausgeschaltet bzw. vom Strom getrennt, Fesplatten- und Firmware(-Konfigurations)-Images gezogen und das untersucht. Das RAM-Image gibt in in der Regel den meisten Aufschluss, weil nicht zwingend etwas auf die Festplatte geschrieben wird. Beim Festplatten-Image und dortigen Spuren wird man im einfachsten Fall durch Zeitstempel existierender Dateien geleitet, ansonsten kann man praktisch alles durchgehen: Relevante Verzeichnisse (Caches, Temp etc), gelöschte Dateien, freier Speicherplatz/Hinweise auf Overlay-FS. Firmware sollte natürlich mit der offiziellen übereinstimmen, und ihre Konfigurationsdaten dazu passen; das zu verifizieren, kann ohne Herstellerwissen schwierig oder unmöglich sein.
Grüße
Richard
zuerst werden Beweise vom laufenden Rechner gesammelt, idealerweise durch ein RAM-Image, zumindest aber Prozessliste und Metriken. Je nach verfügbaren Werkzeugen kann das sinnvoll sein, noch bevor der Angriff sonst unterbrochen oder gestört wird.
Dann wird der Rechner ohne Herunterfahren ausgeschaltet bzw. vom Strom getrennt, Fesplatten- und Firmware(-Konfigurations)-Images gezogen und das untersucht. Das RAM-Image gibt in in der Regel den meisten Aufschluss, weil nicht zwingend etwas auf die Festplatte geschrieben wird. Beim Festplatten-Image und dortigen Spuren wird man im einfachsten Fall durch Zeitstempel existierender Dateien geleitet, ansonsten kann man praktisch alles durchgehen: Relevante Verzeichnisse (Caches, Temp etc), gelöschte Dateien, freier Speicherplatz/Hinweise auf Overlay-FS. Firmware sollte natürlich mit der offiziellen übereinstimmen, und ihre Konfigurationsdaten dazu passen; das zu verifizieren, kann ohne Herstellerwissen schwierig oder unmöglich sein.
Grüße
Richard
ich Danke für eure Tipps
so kommt schon einmal etwas Licht ins Dunkel 😅
so kommt schon einmal etwas Licht ins Dunkel 😅
