Sebastian Haeuser

Aus IT-Forensik Wiki

Bachelor Thesis, Hochschule Wismar, November 2023

Autor: Sebastian Häuser

Titel: Forensische Live-Analyse von Windows Systemen mit dem PowerShell Skript „LiveForensicator“

Abstrakt

In Zeiten des digitalen Zeitalters nehmen Angriffe auf Unternehmen aber auch auf Privatpersonen stetig zu. Je nach Unternehmen und der dort herrschenden IT-Sicherheitsphilosophie sollen technische Maßnahmen wie Virenscanner, Firewalls und Intrusion Detection Systeme Sicherheitsvorfälle erkennen und abwehren. Trotz aller Sicherheitsbemühungen verbreiten sich Schadprogramme rasant und die Anzahl neuer Bedrohungen wächst täglich. Schadsoftware und die Möglichkeiten des „digitalen Überfalls“ entwickeln sich stetig weiter, heutzutage werden Angriffe sogar als Service im Darknet vermarktet, Baukästen für verschiedenste, auf das jeweilige Angriffsziel zugeschnittene Cyberangriffe werden bereitgestellt, Sicherheitslücken verbreitet oder gar bewusst zur missbräuchlichen Nutzung geschaffen. Eine hundertprozentige Sicherheit ist utopisch und in der Praxis nicht denkbar. Aufgrund dessen bedarf es sowohl für IT-Sicherheitsverantwortliche, Ermittler, aber auch technisch versierte Endanwender Möglichkeiten der schnellen Identifizierung von IT-Angriffen jeglicher Art.

Das PowerShell Skript „Live-Forensicator“ wurde mit der Zielsetzung entwickelt, dem Anwender einen direkten Zugang ohne weitere Software zu einem möglicherweise kompromittierten System zu ermöglichen und Informationen über das System schnell zugänglich zu machen. In dieser Bachelor-Thesis soll das PowerShell Skript Live-Forensicator auf die Möglichkeiten einer Live-Analyse von Windows Systemen untersucht werden. Hierfür soll ein Sicherheitsvorfall anhand eines nachgestellten Angriffsszenarios auf einem Windows System durchgeführt und anschließend mit dem PowerShell-Skript ausgewertet werden.

Abstract

In the digital age, attacks on companies and private individuals are on the rise. Depending on the company and its IT security philosophy, technical measures such as virus scanners, firewalls and intrusion detection systems are designed to detect and prevent security incidents. Despite all security efforts, malware spreads rapidly and the number of new threats grows daily. Malware and the possibilities of "digital attack" are constantly evolving, nowadays attacks are even marketed as a service on the darknet, construction kits for various cyber attacks tailored to the respective attack target are provided, security loopholes are spread or even deliberately created for misuse. One hundred percent security is utopian and unthinkable in practice. Because of this, there is a need for IT security officers, investigators, as well as technically experienced end users to have ways to quickly identify IT attacks of any kind.

The PowerShell script "Live Forensicator" was developed with the objective of providing the user with direct access, without any additional software, to a possibly compromised system and to make information about the system quickly accessible. In this bachelor thesis, the powershell script live forensicator is to be examined for the possibilities of a live analysis of Windows systems. For this purpose, a security incident is to be carried out using a simulated attack scenario on a Windows system, which is then evaluated using the script. Abstract

Download PDF-Dokument