gagarin
Goto Top

Erkennungsmerkmale von Bit Torrent und anderer P2P Software

Gibt es eine Liste von Erkennungsmerkmalen von Bit Torrent und anderer P2P Software zum Zwecke des Nachweises der Nutzung und zur identifizierung des Betroffenen Systems.

Hallo liebe Administratorengemeinschaft!

Ich habe den Auftrag in unserem Netzwerk, nachzuweisen das P2P Software benutzt worden ist und von welcher Workstation das geschah.

Wir haben die Moeglichkeit unserer Netzwerk nach folgenden Artefakten zu durchsuchen:

1.) Dateien/Ordner (auch geloeschte)
2.) Registrykeys
3.) MD 5 Hashes
4.) Life running Processes

Nun ist die Frage nach was wir denn nun suchen sollen. Jede P2P Software erstellt unterschiedliche Artefakte.

Gibt es irgendwo ein Verzeichniss solcher Merkmale?

Interessante waere auch eine Statistik ueber die beliebtesten P2P-Clients.

Ansonsten muss ich in den sauren Apfel beissen und jede Software selber analysieren muessen.

Ueber eine rege Diskussion wie man an das Thema heran gehen kann wuerde ich mich freuen!

Content-ID: 97199

Url: https://administrator.de/contentid/97199

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

aqui
aqui 17.09.2008 um 16:47:24 Uhr
Goto Top
Warum snifferst du nicht mit einem Wireshark oder MS-Net-Monitor den Traffic am Routerport mit ??

Mit einem entsprechenden Paket Filter auf die P2P TCP und UDP Ports:

http://www.securityfocus.com/infocus/1843

kannst du die Schuldigen ja anhand ihrer IP und MAC Adresse sofort in flagranti dingfest machen und ersparst dir die Frickelei das ganze Netzwerk in allen Ecken nach irgendwelchen Resten und Fragmenten zu durchsuchen. Ob du dann noch Benutzer dazu dingfest machen kannst steht auf einem ganz anderen Blatt Papier !

Pfiffige User nutzen oder so eine Boot CD und einen USB Stick und da wollen wir dich dann mal sehen was du dann findest mit deinen Suchprogrammen..
Der Sniffer findet sie trotzdem und das mit Uhrzeit und Datum face-wink
Gagarin
Gagarin 17.09.2008 um 17:02:52 Uhr
Goto Top
Unser IDS hat schon ganze Arbeitet geleistet. Wir haben die IP Adressen und Timings. Wir wollen das ganze nun von der forsensischen Seite Wasserfest machen.

Der Gebrauch einer Boot/CD oder/und USB Stick ist bei uns eingeschraenkt worden und sollte daher gar nicht erst moeglich sein.
Zitruslimmonade
Zitruslimmonade 17.09.2008 um 17:03:00 Uhr
Goto Top
Moinsen...
Ich versteh nur eins nich, warum ist ein User, der P2P Software benutzt ein Mensch der etwas falsch macht ? Dann bin ich ein ganz ein schlechter Mensch da ich es täglich benutze, bei Videostreams, beim Versuch irre wahnwitzige Images von Linux Distributionen zu saugen usw...
Das Benutzen von P2P Software sollte man endlich mal respektieren und den Sinn sehen für was es eigendlich erstmal erfunden wurde... Doch weil sich alzugern Admins darin versuchen P2P sachen zu blocken... ob nun mit nem application filter oder nem port block... die Vorteile sperrt man damit genauso aus wie die Nachteile.

so, das war mein senf dazu face-smile
gruss
chris
68995
68995 17.09.2008 um 17:06:28 Uhr
Goto Top
nur wer muss auf arbeit denn rießige linux images oder video streams ziehen? ausser admins?
Gagarin
Gagarin 17.09.2008 um 17:07:37 Uhr
Goto Top
Danke Chris fuer deinen "Senf".

Jemand der dafuer unterschrieben hat das er in der Firma keine Software einsetzt die nicht vorher geprueft worden ist macht definitiv etwas falsch.

Ausserdem ist P2P Software DAS Einfallstor fuer Malware schlecht hin und wir koennen es nicht zulassen das unsere Sicherheitsmassnahmen wie IDS/IPS und Emailcontentfiltering umgangen werden.

Sobald ich den Content von P2P sauber filtern und ueberwachen kann haette nichts dagegen solche Software einzusetzen.
miniversum
miniversum 17.09.2008 um 17:55:59 Uhr
Goto Top
Da wäre aber nicht nur nach P2P Software zu suchen. Dann solltest du auch malschauen ob die User so Seiten aufrufen die zum Datei austausch gedacht sind, wie z.B. Rapidshare. Da findest du dann garkeine Softwarespuren auf dem PC da das normale Internet Seiten sind und normale Downloads die da stattfinden. Du müsstest dann also schon Downloads ansich sperren...
Gagarin
Gagarin 17.09.2008 um 18:33:15 Uhr
Goto Top
Danke für deinen Beitrag Miniversum!
Solche Seiten sind bei uns per im Proxy default gesperrt, ebenso der download von ausführbaren Dateien.
16568
16568 18.09.2008 um 08:59:28 Uhr
Goto Top
Du kannst auf den Rechnern im "Dokumente und Einstellungen"-Ordner suchen, da verewigen sich i.d. Regel auch noch einige Sachen...


Lonesome Walker
30660
30660 22.09.2008 um 10:17:16 Uhr
Goto Top
Hi Gagarin.

Wenn ich dich richtig verstanden habe, schreibt ihr das Wort Sicherheit doch recht groß in eurem Unternehmen. Von daher gehe ich jetzt einfach mal davon aus, das kein normaler User auf seinem Rechner Administratorrechte hat. Das wäre angesichts eurer sonstigen Einschränkungen (eingeschränkte USB Sticks, etc) auch sehr schlampig.

Wenn man von dieser Tatsache ausgeht, ist eine Installation eines P2P Programmes von einem normalen Benutzer auch gar nicht möglich.
Als Möglichkeit bleiben hier also erst einmal nur portable Programme übrig (oder gibt es auch browserbasierte P2P Clients?).

Eine einfache .exe-Datei bekommt man trotz Filter ohne Probleme in die Firma. Gib der Datei eine andere Endung (z.B. .doc), schicke sie an deine berufliche Email und ändere den Dateityp lokal wieder auf .exe um. Schon hast du dein portables Programm auf deinem Arbeitsrechner.

Falls es bei euch in diesem Zuge erlaubt ist die Emails des Benutzers anzuschauen (hier muss die Datenschutzregelung eures Unternehmens beachtet werden), suche nach einer entsprechenden Email, die von einer privaten Emailadresse zur beruflichen des Users geschickt wurde und einen Anhang enthält.

Ansonsten bleibt dir wohl nur die Möglichkeit übrig, nach gelöschten Dateien im Papierkorb oder sonst wo auf dem Rechner zu suchen. Ein Filter nach .exe sollte hier schon helfen, sich durch eine eventuelle Flut von gelöschten Dateien hindurch zu arbeiten.
Gagarin
Gagarin 22.09.2008 um 12:03:19 Uhr
Goto Top
Hallo BrenntagAdmin,

um einmal ins Detail zugehen:

Wir haben ein grosses Netzwerk bei dem es moeglich war, auf grund eines administrationfehlers, jegliche Software zu installieren.

Jetzt moechten wir per EnCase uber die serverlets festellen/nachweisen auf welchen Systemen die top 10 der P2P Software installiert war. Dazu muss allerdings bekannt sein nach was gesucht werden muss. Ich hatte gehofft das eine Liste exisitiert in der zb. der Name der ausfuehrbaren Dateien der P2P Software verzeichnet ist.

Ich werde ansonsten jede Software selber installieren muessen um danach suchen zu koennen.

BTW: Es ist durchaus moeglich auch eine unbenannte exe herauszufiltern. Wir benutzen dafuer Produkte von Clearswift.
30660
30660 22.09.2008 um 12:19:07 Uhr
Goto Top
Okay...dann würde ich so vorgehen:

Du hast ja schon den Netzwerkverkehr gesnifft. Hier solltest du auch entsprechende Portangaben bekommen haben. Normalerweise kommuniziert jeder P2P Client, auf eigenen Ports, bzw jedes Protokoll.

Hiernach kannst du bereits eine Vorauswahl der zu suchenden Clients treffen.
Dann würde ich die Registry und innerhalb eines Recovery Programmes nach gelöschten Programmordnern unter C:\Programme suchen, die den entsprechenden Clients zugeordnet werden können.