Angriffe auf Forensik-Software: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Eine besonders aggressive Methode der Anti-Forensik ist das aktive Angreifen von forensischer | Eine besonders aggressive Methode der [[Anti-Forensik]] ist das aktive Angreifen von forensischer Software und Tools durch Ausnutzen von Schwachstellen. So haben IT-Sicherheitsforscher 2017 eine Sicherheitslücke in der weit verbreiteten Forensik-Software „EnCase Forensic Imager“ gefunden, durch die ein Angreifer theoretisch die Analysesoftware und das darunterliegende Host-System kompromittieren können. Mit Hilfe manipulierter VLM2-Partitionen ließ sich ein Stack Overflow produzieren, der es einem Angreifer ermöglicht Code auf dem Forensik Host-System auszuführen. Da EnCase Standardmäßig mit Administrator-Rechten läuft, ließe sich somit die Forensik-Umgebung übernehmen und von da aus weiter ins Netzwerk vordringen. Ermittlungsbehörden könnte so gezielt eine Falle gestellt werden, indem man Datenträgern oder Server mit verbotenen Material wie Kinderpornographie als Köder verwendet, darunter aber auch mit EnCase-Schadcode versehene Images versteckt. Sollte das Forensik-Netzwerk der Ermittlungsbehörden nicht gut von der restlichen Netzwerkinfrastruktur abgeschottet sein, könnte man hier erheblichen Schaden anrichten. Der eigentliche Jäger wird zum Gejagten. Eine andere Sicherheitslücke machte es zudem möglich, dass Programm beim Einlesen manipulierter Daten gezielt zum Absturz zu bringen und eine weitere Analyse so zu erschweren. | ||
Quellen:<br> | Quellen:<br> |
Aktuelle Version vom 8. Dezember 2019, 02:36 Uhr
Eine besonders aggressive Methode der Anti-Forensik ist das aktive Angreifen von forensischer Software und Tools durch Ausnutzen von Schwachstellen. So haben IT-Sicherheitsforscher 2017 eine Sicherheitslücke in der weit verbreiteten Forensik-Software „EnCase Forensic Imager“ gefunden, durch die ein Angreifer theoretisch die Analysesoftware und das darunterliegende Host-System kompromittieren können. Mit Hilfe manipulierter VLM2-Partitionen ließ sich ein Stack Overflow produzieren, der es einem Angreifer ermöglicht Code auf dem Forensik Host-System auszuführen. Da EnCase Standardmäßig mit Administrator-Rechten läuft, ließe sich somit die Forensik-Umgebung übernehmen und von da aus weiter ins Netzwerk vordringen. Ermittlungsbehörden könnte so gezielt eine Falle gestellt werden, indem man Datenträgern oder Server mit verbotenen Material wie Kinderpornographie als Köder verwendet, darunter aber auch mit EnCase-Schadcode versehene Images versteckt. Sollte das Forensik-Netzwerk der Ermittlungsbehörden nicht gut von der restlichen Netzwerkinfrastruktur abgeschottet sein, könnte man hier erheblichen Schaden anrichten. Der eigentliche Jäger wird zum Gejagten. Eine andere Sicherheitslücke machte es zudem möglich, dass Programm beim Einlesen manipulierter Daten gezielt zum Absturz zu bringen und eine weitere Analyse so zu erschweren.
Quellen:
https://www.golem.de/news/bugs-in-encase-mit-dem-forensik-tool-die-polizei-hacken-1612-124908-2.html#comments
https://www.heise.de/security/meldung/Luecke-in-Forensik-Software-gefaehrdet-Analysesysteme-3711329.html
https://sec-consult.com/en/blog/2017/05/chainsaw-of-custody-manipulating/