Angriffe auf Forensik-Software: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
Eine besonders aggressive Methode der Anti-Forensik ist das aktive Angreifen von forensischer | Eine besonders aggressive Methode der Anti-Forensik ist das aktive Angreifen von forensischer Software und Tools durch Ausnutzen von Schwachstellen. So haben IT-Sicherheitsforscher 2017 eine Sicherheitslücke in der weit verbreiteten Forensik-Software „EnCase Forensic Imager“ gefunden, durch die ein Angreifer theoretisch die Analysesoftware und das darunterliegende Host-System kompromittieren können. Mit Hilfe manipulierter VLM2-Partitionen ließ sich ein Stack Overflow produzieren, der es einem Angreifer ermöglicht Code auf dem Forensik Host-System auszuführen. Da EnCase Standardmäßig mit Administrator-Rechten läuft, ließe sich somit die Forensik-Umgebung übernehmen und von da aus weiter ins Netzwerk vordringen. Ermittlungsbehörden könnte so gezielt eine Falle gestellt werden, in-dem man Datenträgern oder Server mit verbotenen Material wie Kinderpornographie als Köder verwendet, darunter aber auch mit EnCase-Schadcode versehene Images versteckt. Sollte das Forensik-Netzwerk der Ermittlungsbehörden nicht gut von der restlichen Netzwerkinfrastruktur abgeschottet sein, könnte man hier erheblichen Schaden anrichten. Der eigentlich gejagte wird damit zum Jäger und umgekehrt. Eine andere Sicherheitslücke machte es zudem möglich, dass Programm beim Einlesen manipulierter Daten gezielt zum Absturz zu bringen und eine weitere Analyse so zu erschweren. | ||
Quellen:<br> | Quellen:<br> |
Version vom 1. August 2019, 23:27 Uhr
Eine besonders aggressive Methode der Anti-Forensik ist das aktive Angreifen von forensischer Software und Tools durch Ausnutzen von Schwachstellen. So haben IT-Sicherheitsforscher 2017 eine Sicherheitslücke in der weit verbreiteten Forensik-Software „EnCase Forensic Imager“ gefunden, durch die ein Angreifer theoretisch die Analysesoftware und das darunterliegende Host-System kompromittieren können. Mit Hilfe manipulierter VLM2-Partitionen ließ sich ein Stack Overflow produzieren, der es einem Angreifer ermöglicht Code auf dem Forensik Host-System auszuführen. Da EnCase Standardmäßig mit Administrator-Rechten läuft, ließe sich somit die Forensik-Umgebung übernehmen und von da aus weiter ins Netzwerk vordringen. Ermittlungsbehörden könnte so gezielt eine Falle gestellt werden, in-dem man Datenträgern oder Server mit verbotenen Material wie Kinderpornographie als Köder verwendet, darunter aber auch mit EnCase-Schadcode versehene Images versteckt. Sollte das Forensik-Netzwerk der Ermittlungsbehörden nicht gut von der restlichen Netzwerkinfrastruktur abgeschottet sein, könnte man hier erheblichen Schaden anrichten. Der eigentlich gejagte wird damit zum Jäger und umgekehrt. Eine andere Sicherheitslücke machte es zudem möglich, dass Programm beim Einlesen manipulierter Daten gezielt zum Absturz zu bringen und eine weitere Analyse so zu erschweren.
Quellen:
https://www.golem.de/news/bugs-in-encase-mit-dem-forensik-tool-die-polizei-hacken-1612-124908-2.html#comments
https://www.heise.de/security/meldung/Luecke-in-Forensik-Software-gefaehrdet-Analysesysteme-3711329.html
https://sec-consult.com/en/blog/2017/05/chainsaw-of-custody-manipulating/