Denis Kiffer
Master Thesis, Hochschule Wismar,Juli 2024
Autor: Denis Kiffer
Titel: Identifizierung kompromittierter Systeme mittels Baselines auf Basis forensischer Artefakte: Eine Untersuchung zur Effektivität im Rahmen der Reaktion auf IT-Sicherheitsvorfälle
Abstrakt
Aufgrund der anhaltend hohen Bedrohung durch Cyberangriffe ist die Befassung mit dem Themenfeld Incident Response weiterhin relevant. Dabei kommt der Identifizierung kompromittierter Systeme in großen Unternehmensnetzwerken als ein Teilschritt des Incident Response Prozesses eine wichtige Rolle zu. Hierzu werden in der Regel mittels einer Remote Triage erhobene forensische Artefakte aller Systeme in einem Netzwerk untersucht, um Systeme zu identifizieren, die genauer analysiert und im Anschluss ggf. isoliert und bereinigt werden müssen. Die dabei anfallende Datenmenge kann sehr groß werden, sodass eine Datenreduktion hilfreich sein kann. Diese kann mittels einem Abgleich von ausgewählten forensischen Artefakten, die vor einem Angriff erhoben und somit eine Baseline darstellen, erreicht werden. Das Ziel der Masterthesis ist somit die Darstellung der Erstellung und Nutzung einer solchen Baseline im Rahmen von Incident Response. Um die Methode auch praktisch bewerten zu können, wird ein virtuelles Testnetzwerk aufgebaut, auf welchem im Anschluss ein Cyberangriff simuliert wird. Die Methode wird auch mit zwei weiteren etablierten Methoden der forensischen Analyse im Rahmen von Incident Response verglichen. Hierbei handelt es sich um das Stacking von Artefakten mehrerer Systeme und einem Monitoring mittels des Windows Eventlogs. Im Ergebnis kann festgestellt werden, dass ein Abgleich forensischer Artefakte nach einem Cyberangriff mit einer Baseline durchaus hilfreich bei der Analyse sein kann. Die Methode des Monitorings ist jedoch bei entsprechender Konfiguration aufgrund der besseren Datengrundlage zu bevorzugen.
Abstract
Title: Identification of Compromised Systems through Baselines Based on Forensic Artifacts: An Investigation into Effectiveness in the Context of Incident Response
Due to the ongoing high threat of cyber attacks, dealing with the topic of incident response is still relevant. The identification of compromised systems in large corporate networks plays an important role as a sub-step of the incident response process. For this purpose, forensic artifacts from all systems in a network, usually collected using remote triage, are examined in order to identify systems that need to be analyzed more closely and then isolated and cleaned up if necessary. The amount of data generated can be very large, so data reduction can be helpful. This can be achieved by comparing selected forensic artifacts that were collected before an attack and thus represent a baseline. The aim of the master's thesis is therefore to illustrate the creation and use of such a baseline in the context of incident response. In order to be able to evaluate the method in practice, a virtual test network is set up, on which a cyber attack is then simulated. The method is also compared with two other established methods of forensic analysis in the context of incident response. This involves stacking artifacts from multiple systems and monitoring systems using the Windows event log. As a result, it can be seen that comparing forensic artifacts after a cyber attack with a baseline can be very helpful in the analysis. However, the monitoring method is preferable due to the better data basis if configured accordingly.
siehe auch: https://docs.velociraptor.app/exchange/artifacts/pages/server.hunt.comparison/
