RFID/NFC testen und analysieren – Teil 1

Publiziert am August 4, 2023 von thomas

Beschäftigt man sich mit RFID/NFC Sicherheit, stellt sich immer die Frage, was man in seinem Heimlabor testet. Als Erstes fielen mir da immer smarte Türschlösser ein. Da ist man aber schnell bei 100€ oder mehr. Durch Zufall bin ich auf YouTube auf eine andere Möglichkeit gestoßen, die für 28€ einen billigeren Einstieg ermöglicht. IKEA bietet das Einbauschloss ROTHULT an. Dieses Schloss kann man z.B. in einen Schrank einbauen.

Natürlich fand ich DANACH eine ganze Reihe ähnlicher Schlösser auf Amazon. Es kommt eben doch auf den richtigen Suchbegriff an.

Das Set selbst enthält das Schloss, einen Metallbügel, einen Satz Einbauschrauben ,eine Einbauanleitung, die Benutzeranleitung (2 kleine Seiten pro Sprache) sowie zwei sogenannte Masterkarten. Bestückt wird das Schloss mit 3 AAA-Batterien, die angeblich 17 Monate bei täglich 3 Schließaktionen (auf/zu) pro Tag halten sollen.

Hier ein Foto der Verpackung (zum Größenvergleich ein Yubikey 5) und der Inhalt der Packung:

Die Anleitung präsentiert sich als sehr umfangreich…

Die Masterkarten können das Schloss immer entriegeln; zudem kann man eine zusätzliche RFID/NFC-Karte hinzufügen.

Welche Karten hinzugefügt werden können, kann man z.B. auf https://www.nfc-tag-shop.de/de/howto/ikea-rothhuld-mit-nfc-tags-benutzen nachlesen:

NFC-Tag-Typen NTAG213, 215 oder 216, MIFARE Classic Chipsatz und DESFire EV1 

Das Hinzufügen eines Tags geschieht auf eine interessante Art und Weise. Dazu muss das Schloss offen sein. Hält man dann einen Tag an das Schloss, so verschließt es sich und kann nur mit diesem Tag wieder geöffnet werden (und natürlich den Master Keys). Aber was passiert wenn man an das geöffnete Schloss einen anderen Tag hält? Genau, dann wird der zum neuen Tag und mit dem vorher registrierten Tag kann man nichts anfangen.

Ich habe einen meiner Tags (Mifare 1k) genommen und registriert. Danach bin ich auf dem Flipper Zero ins NFC Menü gegangen und habe dort Read ausgewählt. Der Flipper hat dann versucht die Schlüssel auf dem Tag auszulesen. Das hat eine ganze Zeit gedauert und leider nichts gebracht. Das Schloss lässt sich mit dem emulierten Tag nicht öffnen.

Hier ein Foto vom Tag sowie von Flipper Zero:

 

Hier auch noch mal ein Foto vom Auslesen der Masterkarte:

Hier muss ich noch weiterforschen…

 

 

Veröffentlicht unter blog, Hacking Tools - Hardware, RFID und NFC, security | Kommentare deaktiviert für RFID/NFC testen und analysieren – Teil 1

Chameleon Ultra – CLI Zugriff

Publiziert am August 1, 2023 von thomas

Für den Zugriff auf den Chameleon Ultra gibt es aktuell wohl zwei Möglichkeiten:

  • per CLI: https://github.com/RfidResearchGroup/ChameleonUltra
  • per Gui: https://github.com/GameTec-live/ChameleonUltraGUI

Beide Wege werden auf Icemans YouTube Kanal (https://www.youtube.com/@iceman1001) beschrieben: 

  • CLI: https://www.youtube.com/watch?v=VGpAeitNXH0
  • GUI: https://www.youtube.com/watch?v=rHH7iqbX3nY

Mit der GUI kämpfe ich noch; aber der Weg per CLI funktioniert. Ich habe für die ersten Tests eine virtualisierte KALI Version genommen. Icemans Beschreibung hat hier sehr gut funktioniert. Allerdings sieht KALI bei mir den Ultra nicht als /dev/ttyS7, sondern als /dev/ttyACM0.

Nachdem man die Vorbereitungen abgearbeitet hat, ruft man das Python-Skript chamaeleon_cli_main.py auf:

Dann erscheint das Hauptmenü:

Dort gibt es drei Unterpunkte:

LF steht hier für Low Frequency, also den Bereich von 125KHz:

HF steht dann natürlich für High Frequency, also üblicherweise 13.56MHz:

Hinweis: LF und HF umfassen eigentlich einen größeren Frequenzbereich (siehe https://www.rfidfuture.com/de/lf-hf-and-uhf-frequency-whats-the-difference.html); aber bei RFID treffen wir üblicherweise die hier genannten Werte an.

Unter HW kann man dann bestimmte Eigenschaften des Ultra einstellen:

Wie man sehen kann, ist der Ultra gerade nicht angeschlossen. Sobald er mit KALI verbunden ist, kann man ihn über „hw connect“ einbinden (ggf. muss man noch die Schnittstelle anngeben):

Man kann den aktuellen Mode abfragen

bzw. ihn setzen

Möchte ich Mifare Classic Karten untersuchen, kann ich einfach ins entsprechende Untermenü wechseln:

Auch für LF gibt es ein Untermenü:

An der Stelle stehe ich jetzt selber; sobald ich mich tiefer eingearbeitet habe, gibt es weitere Infos.

 

 

Veröffentlicht unter blog, RFID und NFC, security | Kommentare deaktiviert für Chameleon Ultra – CLI Zugriff

Chameleon Ultra – ein erster Blick

Publiziert am August 1, 2023 von thomas

Heute kam mein Chameleon Ultra an. Es handelt sich hierbei um ein kleines Stück Hardware zum Lesen, Emulieren und Analysieren von RFID und NFC Karten.

 

Das Teil kam in einem kleinen Paket, welches offensichtlich aus China kam (what a surprise).

Schachtel mit Chamaeleon UltraDas Paket enthielt: den Chameleon Mini, eine Silikon-Hülle, ein USB-Kabel (an einem Ende mit USB-A und USB-C, ein Schraubenzieher mit 2 zusätzlichen Schrauben und ein Band (z.B. zum Befestigen am Schlüsselbund).

Inhalt der Schachtel

Der Vorgänger ist gemäß eines Kommentars auf YouTube empfindlich gegenüber magnetischen Verschlüssen von Smartphone-Hüllen. Wie es beim Ultra aussieht, weiss ich nicht. Aber Vorsicht ist besser als Ärgern.

Hier sieht man Vorder- und Rückseite des Chameleon Ultra; zu erkennen sind die beiden Schalter A und B sowie die LEDs 1 bis 8.

Rückseite Chamaeleon Ultra Vorderseite Chamaeleon Ultra

Hier gut sichtbar sind der USB Anschluss und der Befestigungspunkt für das Band.

   

Zum Größenvergleich hier mal Chameleon Mini Rev. G, Proxmark 3 (Nachbau), Flipper Zero und Chameleon Ultra:

Jetzt muss ich nur noch Zeit finden mich damit ausgiebig zu beschäftigen.

 

Veröffentlicht unter blog, Hacking Tools - Hardware, RFID und NFC | Kommentare deaktiviert für Chameleon Ultra – ein erster Blick

Buchtipps

Publiziert am Juli 2, 2023 von thomas

Nachdem im Blog lange Zeit Ruhe war, wird es mal wieder Zeit für ein paar Buchtipps bzw. Buchkritiken (je nachdem wie mir das Buch gefallen hat).

Hörensagen – Wahrheitsfindung in einer faktenfeindlichen Welt (Asa Wikforss)

Ich habe ja schon einige Bücher zum Thema Verschwörungsmythen gelesen. Es fällt mir immer noch schwer zu verstehen, wie Menschen auf offensichtlichen Blödsinn reinfallen können. Die Autorin (eine schwedische Professorin für theoretische Philosophie) fängt ihr Buch mit der Frage an, was es überhaupt bedeutet etwas zu wissen. Nach ihrer Meinung sind drei Dinge dazu notwendig:

  • ich muss es glauben
  • es muss wahr sein
  • es muss Evidenzen dafür geben

Man braucht hier nur mal über die Aussage „es regnet draußen“ nachzudenken…

Die Autorin schreibt aber auch über Fake News, wie falsche Meinungen entstehen und wie Lügen ausgenutzt werden können. Interessant war auch das Kapitel zu Schulen und welchen Einfluss die Umstellung bei der Wissensvermittlung hatte. Es wird eindringlich dargestellt, dass „die Schüler sollen sich Wissen selbst erarbeiten“ ohne die Vermittlung von Grundinformationen und -techniken sehr großen Schaden anrichtet.

Das Buch ist stellenweise nicht leicht zu lesen und man mag Frau Wikforss stellenweise einen zu akademischen Stil vorwerfen. Aber ich halte es für ein sehr wichtiges und gutes Buch. Und was heißt schon schwer? Das Gehirn ist ein Muskel, der trainiert werden will;-)

Macht & Millionen – Die spektakulärsten Verbrechen und Skandale (Kayhan Özgenc und Solveig Gode)

Wenn man an Verbrechen denkt, fallen einem aufgrund der vielen True Crime Podcasts sicherlich zuerst spektakuläre Serienmörderfälle ein. Oder vielleicht noch die Stichwörter „Rocker“ oder „Clan“. Aber es gibt Verbrechen, die oft ganz ohne Blut und Tote ablaufen. Und die sind mindestens genauso spannend. Im Englischen heißen diese Verbrechen „White Collar Crime“: im Deutschen ziemlich trocken „Wirtschaftsverbrechen“. Seit einiger Zeit gibt es einen Podcast dazu „Macht&Millionen; sehr empfehlenswert!) und 12 davon gibt es jetzt auch als Buch. Dabei geht es nicht immer nur um Verbrechen; manchmal geht es um schnöde Erbschaftsstreitigkeiten. Neben dem Cum-Ex-Skandal und der Wulff-Affäre geht es u.a. um Erbstreitigkeiten bei Tönnies und Tengelmann. Meine Lieblingsgeschichte ist aber die von „Big Manni“, der Tausende Maschinen verkauft hat. Dummerweise gab es die nur auf dem Papier…

Erschreckend sind zwei Dinge: zum Einen wie sich Politiker gerne im Licht solcher zwielichtigen Typen sonnen (siehe Big Manni oder Wirecard) und wie oft die Betrüger relativ ungeschoren davon kommen.

Das macht stellenweise echt schlechte Laune; aber trotzdem kann ich das Buch nur empfehlen.

Und erlöse uns von den Blöden – Vom Menschenverstand in hysterischen Zeiten (Monika Gruber und Andreas Hock)

Als ich mir das Buch gekauft habe, wusste ich nicht wer Monika Gruber ist. Mittlerweile hat sie sich ja von der Bühne zurückgezogen und hat sich als Fan von Hubert Aiwanger geoutet. Das erklärt nun einige Aussagen im Buch, die mich irritiert haben. 

Unbestritten hat man zeitweise das Gefühl, dass in der gesellschaftlichen und politischen Diskussion nur noch das Schrille vorherrscht. Sachlich diskutiert wird eigentlich nicht mehr und grundsätzlich ist jeder irgendwie benachteiligt. Grundtugenden wie Höflichkeit und Pünktlichkeit sind out. Und zum Thema Berufswunsch Influencer sage ich mal lieber nichts…

Allerdings gibt es dann doch Passagen im Buch, die nicht zu meinen Ansichten passen. Ganz vorne natürlich das Thema Corona. Und spätestens beim Moral-o-meter („wie Nazi-gefährdet sind sie“) bin ich ausgestiegen.

Merke: nicht  alles, was witzig scheint, ist es auch.

Wenn man gedanklich auf meiner Wellenlänge ist und sich mal challengen will: das Buch eignet sich dafür. Man soll ja nicht immer in der eigenen Bubble verharren. 

Aber ein Fan von Frau Gruber bin ich nicht geworden.

Schwarzbuch McKinsey – Die fragwürdigen Praktiken der weltweit führenden Unternehmensberatung (Walt Bogdanich und Michael Forsythe)

Wer schon immer nicht viel von Beratungsunternehmen hielt, wird seine Meinung nach der Lektüre dieses Buches nicht ändern. Auf knapp 400 Seiten wird beschrieben, wie ein großes Beratungshaus Stück für Stück auf der ganzen Welt ausgebreitet hat. Auch wenn man nach außen moralisch tut, zeigen viele Beispiele dass am Ende doch nur das Geld zählt. Aber es wird McKinsey hier auch oft leicht gemacht, weil Politiker sich mit Themen nicht beschäftigen wollen oder können und Verantwortung gerne abtreten wollen (was m.E. nicht geht). Spätestens wenn man bei einem Thema zwei Parteien vertritt (z.B. Pharmaunternehmen und Gesundheitsbehörde), wird es doch sehr fragwürdig.

Das Buch ist keine leichte Kost und 400 Seiten sind keine Nachmittagslektüre; aber es lohnt sich. Schlechte Laune ist aber garantiert!

Digitale Jäger – Ein Insiderbericht aus dem Recherchenetzwerk Bellingcat (Eliot Higgins)

In der heutigen Zeit ist das Problem nicht so sehr dass wir keine Informationen haben. Eher haben wir zu viel und wissen oft nicht, welcher Quelle wir noch trauen können. Glücklicherweise gibt es Menschen, die es sich zur Aufgabe gemacht haben Fakten von Täuschungen zu trennen. Und sie machen das auf eine Weise, die ihre Ergebnisse überprüfbar macht. Eine dieser gruppen ist das Recherchenetzwerk Bellingcat. Im Buch wird anhand von Beispielen beschrieben (Abschuss von MH17 über der Ukraine, Syrienkrieg etc.), wie man die Echtheit von Fotos und Videos überprüfen kann. Gleichzeitig wird dargestellt, wie aus einem Ein-Mann-Projekt eine ganze Gruppe wurde. Das Ganze ist spannend geschrieben, auch wenn der Autor sich gelegentlich zu sehr selbst lobt.

Aber man lernt viel dabei und es liest sich flüssig. Und wieder eine Leseempfehlung!

Ein falscher Klick – Hackern auf der Spur: Warum der Cyberkrieg uns alle betrifft (Eva Wolfangel)

Cyber ist mittlerweile ein Wort geworden, welches IT-Security-Spezialisten nicht mehr hören können. Deshalb könnte das Wort „Cyberkrieg“ im Untertitel des Buches einen vom Kauf abhalten. Dann würde einem aber ein sehr interessantes Buch entgehen. Es geht um kriminelle sowie um staatliche Hacker.  Bekannte Malware wie Stuxnet und Flame begegnet man; aber auch nicht so bekannten Angriffen. Es geht aber auch z.B. um Social Engineering; u.a. wird Christina Lekati erwähnt. Ihrem Vortrag durfte ich auf der RuhrSec 2019 lauschen (Vortrag auf YouTube verfügbar). Auch Lilith Wittmann wird erwähnt, die regelmäßig insbesondere schlechte Behörden-Software aufdeckt. Das Buch macht sich aber auch Gedanken dazu, wo es bei der IT-Sicherheit immer noch hakt. Und dabei ist es gut lesbar und trotzdem inhaltlich korrekt.

Das Buch ist definitiv auch für Nicht-ITler geeignet! Aber auch Fachleute werden die Inhalte interessant finden.

Der große Roman der Mathematik – Von den Anfängen bis heute (Mickael Launay)

Mathematik ist ein Thema, bei denen vielen leider nur einfällt „das habe ich nie verstanden“. Meiner Meinung nach (und ich bin da nicht alleine) liegt es oft an der schlechten Präsentation in der Schule. Es werden oft nur Formeln gepaukt, ohne auf den Kern der Mathematik einzugehen. Helfen könnte da z.B. ein tieferes Verständnis dafür, wie sich Mathematik entwickelt hat. Was waren die Anfänge?[1]

Der Autor bringt aber nicht nur die üblichen Beispiele (Babylon), sondern zeigt auf dass sich bestimmte Ideen gleichzeitig auf der Welt entwickelt haben. Ich hatte z.B. noch nichts von den 2200 Jahre alten „Neun Büchern arithmetischer Technik“ gehört, die während der Han-Dynastie in China geschrieben wurden.

Das Buch kommt nicht ganz ohne Formeln aus und man muss sich auf die betrachteten Themen einlassen. Belohnt wird man aber mit einem sehr schönen Buch zur Mathematik und ihrer Geschichte. Und wenn man sich als Nicht-Mathematiker auf die Reise einlässt, wird man mit sehr großer Wahrscheinlichkeit am Ende sagen: „wenn man mir es so erklärt hätte, dann hätte ich Mathematik auch gemocht“. Versprochen!

[1] Hierzu empfehle ich auch die Dauerausstellung im Heinz-Nixdorf-Museum in Paderborn.

Out of the Dark – Die wahre Geschichte hinter einem der größten Darknet-Marketplaces der Welt: WallStreet Market (Martin Frost)

Unter dem Darknet stellen sich viele Menschen einen dunklen Ort vor, an dem superschlaue, skrupellose Kriminelle ihren dunklen Geschäften nachgehen. Aber wer sind wirklich die Leute, die sich dort bewegen? Und wie kam es dazu dass sie kriminell wurden? Mit Martin Frost beschreibt ein Insider seinen Weg auf die dunkle Seite. Seine ersten Schritte mit dem Computer; wie bei vielen Teenagern bewegte er sich da in einer Grauzone (Filesharing). Er rutscht tiefer und tiefer in die Szene rein. Antrieb für ihn sind Anerkennung und viel Geld. Und irgendwann ist er Mitbegründer von „Wallstreet Market“; einem Umschlagplatz für viele illegale Dinge. Der Preis dafür sind am Ende 7 Jahre und 9 Monate Haft.

Das Buch ist wirklich gut geschrieben und Martin Frost reflektiert ehrlich seinen Weg und die falschen Entscheidungen, die er getroffen hat. Kein reißerisches Buch, wie es beim Thema Darknet ja so oft der Fall ist. Definitiv lesenswert!

Die Jagd auf das chinesische Phantom – Der gefährlichste Waffenhändler der Welt oder: Die Ohnmacht des Westens (C. Giesen, P. Grüll, F. Obermaier, B. Obermayer)

Um auf der FBIs Most Wanted Liste zu landen, muss man schon Einiges anstellen. Aber wenn auf eine Person bis zu 5 Mio. US-$ ausgesetzt sind, dann handelt es sich um einen Top-Kriminellen. Das Buch handelt von Li Fangwei, auch bekannt als Karl Lee. Er ist chinesischer Staatsbürger und handelt mit verschiedenen Gütern. Unglücklicherweise handelt es sich bei diesen Gütern um Rohstoffe und Geräte, die es u.a. dem Iran ermöglichen immer präzisere und weitreichendere Raketen zu bauen. Im Buch wird die fast 5-jährige Recherche beschrieben und es gibt einen Einblick in die internationale Politik und in Geheimdienstoperationen. Es ist sehr spannend geschrieben und lässt einen so schnell nicht los. Die 250 Seiten sind eine gute Wochenendlektüre. Sehr empfehlenswert!  

 

Veröffentlicht unter blog, buecher | Kommentare deaktiviert für Buchtipps

SANS FOR500 Windows Forensics

Publiziert am Oktober 18, 2020 von thomas

Das Theme „digitale Forensik“ interessiert mich schon etwas länger und auch auf der Arbeit habe ich immer mal wieder damit zu tun. Anfang des Jahres wurde mir glücklicherweise die hier besprochenen Schulung gewährt; zusammen mit einem Kollegen sollte ich das Training als InPerson-Training absolvieren. Einige andere Kollegen waren für den Kurs FOR508 vorgesehen, der sich mehr mit dem Thema „Incident Response und Forensik in großen Netzen“ befasst.  Beide Kurse zusammen bilden also eine gute Grundlage für einen tiefen Einblick in das Thema. Und dann kam COVID-19…

Nachdem der erste Anlauf abgesagt wurde, sollte es einen neuen Versuch geben. Diesmal mit einem Paket, welches den Kurs sowohl als OnDemand (6 Monate Zugriff), Online Live (also ein virtueller Klassenraum) und als InPerson beinhaltet. Ab Mitte des Jahres ging es mit OnDemand los und für November war InPerson geplant. Aber ihr ahnt es schon…

Bis voraussichtlich April 2021 gibt es keine InPerson-Trainings bei SANS. Das Problem hierbei: der Gutschein für die Prüfung ist an das OnDemand-Training gebunden. Und das läuft Anfang Januar 2021 aus. Glücklicherweise hatte ich geplant, sowohl das Online Live- als auch das InPerson-Training zu besuchen. Und das lief nun vom 12.10.-17.10.2020. Da ich im OnDemand erst die ersten beiden Tage geschafft hatte, gab es also sowohl schon bekannte Themen als auch Neues. Das macht es aber einfacher die beiden Trainings zu vergleichen.

Kleiner Haken: in der Woche, die ich mir für das Online Live Training freigehalten hatte, gab es nur zwei Trainings. Eins davon in Orlando und eins in Singapur. Ich habe mich für Orlando entschieden und somit ging die Schulung für mich immer von 15:00-23:00 Uhr. Aber bei Singapur hätte ich nachts um 2 Uhr angefangen;-)

Was erwartet Eine(n) nun in dem Kurs? Wie oben schon erwähnt, geht es um die Analyse eines einzelnen bzw. einiger weniger Windows-Systeme. Der Fokus liegt hierbei auf Client-Systemen; Einiges lässt sich sicher auch auf Server-Systeme übertragen.

Im Training selbst werden verschiedene Tools verwendet; aber es geht nicht um die Verwendung von Tools. Vielmehr wird erklärt, welche Artefakte von den Tools analysiert werden und wie die Ergebnisse zu interpretieren sind. Warum nun sollte man sich damit beschäftigen, wenn es doch wunderbare Tools gibt, die die ganze Arbeit machen können?

Weil

  • Tools Fehler machen können
  • Ergebnisse oft einer Interpretation bedürfen

Ein Beispiel hierfür ist das Attribut „Last Access Time“. Das kann bedeuten, dass ein User zuletzt diese Datei geöffnet hat; aber es kann auch der Virenscanner oder die Indexierung gewesen sein.

Ein weiterer wichtiger Punkt ist die Aufbereitung der Ergebnisse. Nicht nur für Ermittlungsbehörden sondern auch für den Privatsektor ist die Fähigkeit wichtig, Ergebnisse in einen logischen Zusammenhang zu bringen und diesen dann Nicht-Technikern zu erklären. Das kann die Präsentation der Ergebnisse vor Gericht sein, aber auch die Management Summary in einem Bericht. Deswegen wurde im Online Live Training immer wieder gesagt „we tell a story“.

Ähnlich gelagert (und damit fängt der Kurs an) ist die Aufgabenstellung. Die Zielvorgabe „schauen sie mal was sie finden“ macht wenig Sinn. Besser ist es am Anfang eine Hypothese aufzustellen („Person A hat das und das gemacht“) und diese dann zu belegen oder zu widerlegen. Hier stehen am Anfang die Fragen

  • Wer?
  • Was?
  • Wann?
  • Wo?
  • Warum?
  • Wie?

In den ersten fünf Tagen geht es um das Finden und Interpretieren von Artefakten. Der rote Faden hierbei ein fiktiver Fall, bei dem eine Person verdächtigt wird vertrauliche Informationen gestohlen zu haben. Am letzten Tag wurden wir in Gruppen aufgeteilt und bekamen einen neuen Fall mit neuen Fragen. Diese mussten beantwortet und die Ergebnisse präsentiert werden. Das beste Team gewann eine Auszeichnung[1].

Das Lehrmaterial ist aufgeteilt in drei Ordner mit Lernmaterial sowie zwei Ordner mit Aufgaben. Die Aufgabenordner enthalten auch Step-by-Step-Lösungen. Man erhält ferner ISO-Images mit einer VM zur Analyse, den Daten zum fiktiven Fall, Trial-Lizenzen für einige Tools, zusätzliches Material für einen weiteren Fall und einige SANS-Poster. In meinem Paket waren auch MP3s enthalte; die Aufzeichnungen des Kurses (Video) bekommt man leider nicht.

Man beötigt auf jeden Fall Einiges an Plattenplatz und einen nicht zu schmalbrüstigen Rechner. Leider gibt es mittlerweile keinen HW-Writeblocker mehr dazu.

Welche Themen werden nun an den einzelnen Tagen behandelt?

Tag 1: Windows Digital Forensics and Advanced Data Triage

Hier geht es erst mal um die weiter oben angesprochen Ansatzpunkte für eine Untersuchung (die 6 W’s). Zudem geht es um die Frage, wie ich überhaupt an die zu untersuchenden Daten komme; etwas tiefer wird hier aber nur auf das Thema „Memory Extraction“ eingegangen. Für das Thema „Data Acqusition“ gibt es einen eigenen Kurs. Leider gab es hier eine kleine Enttäuschung: die Auswertung von Memory Images sowie ein NTFS Deep Dive ist Thema im FOR508.

Was aber besprochen wurde: was sind denn die Schritte bei der Datensammlung? Hier gab es eine erste Überraschung: am Anfang steht nicht das Imaging einer kompletten Festplatte! Ziel ist es möglichst schnell erste Ergebnisse zu liefern. Zweite Überraschung: wir verändern den zu untersuchenden Gegenstand! denn die ToDo-Liste sieht wie folgt aus:

  • Memory Dump
  • auf Festplattenverschlüsselung prüfen
  • Stecker ziehen (nicht einfach herunterfahren)
  • Platte per Write-Blocker anschliessen
  • erste Datenextraktion

Man kann dann die Festplatte noch imagen; aber dan man ja das Original hat, ist es ggf. nicht unbedingt notwendig. Wichtig ist natürlich, jeden Schritt sauber zu dokumentieren.

Situationsbedingt kann eine andere Vorgehensweise auch möglich sein; dieser Weg ist nicht „One size fits all“.

Wichtig ist insbesondere der zweite Punkt der Liste; sonst hat man plötzlich ein nicht nutzbares Image;-)

Es gibt dann doch auch ein paar Infos zu NTFS und einige Übungen zum Thema File- bzw. Data Carving.

Auf ein Tool, das wir immer wieder verwendet haben, möchte ich noch hinweisen: ARSENAL Image Mounter. Die kostenfreie Version ermöglicht es einem „nur“, ein vorhandenes Image einzubinden. Dabei kann man aber einen Modus verwenden, bei dem das Betriebsystem denkt, man würde auf die Platte (also in das Image) schreiben; in Wirklichkeit tut man das aber nicht. Besonders praktisch bei Ordnern, bei denen die Rechte nicht passen. Die lizensierte Version kann diese Images wohl sogar als VM starten (nicht getestet).

Tag 2: Windows Registry Forensics and Analysis

Hier will ich gar nicht zu viel zu schreiben. Nur so viel: es ist unglaublich, was Windows so alles in der Registry abspeichert. Man kann es ziemlich einfach zusammenfassen: will man ein Verbrechen begehen, dann verwendet man besser nicht Windows;-)

Interessant ist auch, dass man Dinge in der Registry nur schwer löschen kann. Wer sich hier auf einen Registry-Cleaner verlässt, erlebt unter Umständen sein blaues Wunder.

Es wurde auch darauf hingewiesen, dass viele Tools die Registry nicht komplett analysieren können. Hier ist das Tool der Wahl der Registry Explorer von Erich Zimmerman.

In der Überschrift nicht enthalten, aber trotzdem Thema des zweiten Tages: Cloud Storage. Am Beispiel von

  • Microsoft OneDrive
  • Google Drive
  • G Suite
  • Dropbox
  • Box

wurde gezeigt, welche Artefakte hier zu finden sind. Und das auch für Dateien, die schon gelöscht wurden…

Vom Inhalt her würde ich sagen dass dieser Tag der Heftigste ist. Das kann man in einem Durchlauf gar nicht alles verarbeiten.

Tag 3: USB Devices and Shell Items

In diesem Teil geht es um zwei Themen: welche externen Geräte (Massenspeicher) wurden angeschlossen/benutzt und welche Dateien/Ordner wurden verwendet. Der zweite Punkt bezieht sich hier nur auf das lokale System selbst sondern auch auf Netzwerklaufwerke und UNC-Freigaben.

Ich war überrascht, was Windows auch hier wieder alles abspeichert und wie man es ausliest bzw. interpretiert.

Gerade hier muss man bei der Interpretation der Zeitstempel sehr vorsichtig sein!

Zusammen mit Tag 2 sicherlich der Stoff, den man besonders intensiv durchgehen muss.

Tag 4: Email, Additional Artifacts and Event Logs

Beim Thema Mail ging es nicht nur um Outlook und Exchange, sondern auch um grundsätzliche Fragen (welche Informationen kann ich aus einer Mail entnehmen). Neben O365 wurden auch die G Suite, Webmail und Mobile Mail angesprochen.

Für mich war das besonders interessant, da ich aufgrund meiner früheren Beschäftigung mit Microsoft Exchange und Mail allgemein schon oft mit solchen Themen in Berührung gekommen bin. Aber gerade für den Bereich O365 kann ich sicherlich noch jede Menge Ideen dem Kursmaterial entnehmen.

Exkurs: wir hatten vor längerer Zeit mal die Aufgabe eine Lotus Notes Mailbox auszuwerten. Hätte ich damals schon gewusst, dass es das Tool NUIX gibt, dass Notes-Mailboxen direkt einlesen kann, wäre Vieles einfacher gewesen.

Der Bereich „Additional Artifacts“ enthält die folgenden Unterpunkte:

  • Windows Search Index
  • Thumbnail Analysis
  • Recycle Bin
  • Windows 10 Timeline
  • Windows Prefetch
  • SRUM

Diese Dinge sind teils schwerer zu analysieren bzw. es gibt wenige kostengünstige Tools, um sie „hübsch“ darzustellen; aber gerade SRUM ist eine Quelle für viele Informationen (aber auch für Paranoia).

SRUM steht für „System Resource Usage Monitor“. In Kurzform wird das, was im Taskmanager angezeigt wird, durch SRUM gesammelt und ca. 30 Tage aufbewahrt (unter Umständen sogar länger).

Ich habe vor Kurzem einen neuen Rechner bekommen; wie man sieht, kann ich jetzt noch sehen wie viele Daten ein Prozess im letzten Monat empfangen und gesendet hat. Das ist besonders dann interessant, wenn das Programm gar nicht mehr auf dem Rechner ist. Ich kann die Verwendung trotzdem nachweisen.

Zum Thema „Event Log“ muss ich hoffentlich nicht zu viel sagen. Aber auch dieser (relativ kurze) Teil enthielt einige interessante Tipps für Event Log IDs, auf die man achten sollte. Zur Auswertung gibt es zum Beipiel das Tool „Event Log Explorer“; es ist kostenfrei für den persönlichen, nicht-kommerziellen Gebrauch (der Preis ist aber ziemlich niedrig).

Wichtiger Tipp: auf Änderungen der Systemzeit achten (Verschleierungsversuch). Generell wurde im Kurs darauf hingewiesen, dass man sich auf jeden Fall die Zeitzone aufschreiben soll, die das zu untersuchende System verwendet. Sonst gibt es lustige Überraschungen beim Aufstellen der Timeline…

Tag 5: Web Browser Forensics – Firefox, Internet Explorer and Chrome

Der letzte Tag war dem Thema „Browser Forensics“ gewidmet. Es wurde uns als „ganz easy“ angekündigt. Verglichen zum Beispiel zum Tehma „Registry“ mag das auch richtig sein; aber es war sehr interessant. Konkret ging es um

  • Internet Explorer
  • Edge
  • Firefox
  • Chrome
  • Private Browsing

Bei den Browsern fand ich gerade so Themen wie „Sync“ und „Cache“ sehr interessant. Auch was in Google Analytics Cookies so alles zu finden ist verringert jetzt nicht die Paranoia;-)

Man könnte nun denken, dass „Private Browsing“ da einen Schutz bietet. Das stimmt zum Teil ja auch. Aber (von Memory-Analyse mal ganz abgesehen) gibt es noch die nette Funktion der „Session Recovery“. Und externe Viewer können auch Spuren hinterlassen. Wir haben sogar ein bisschen über TOR gesprochen.

In diese Unterlagen werde ich mich noch mal vergraben.

Tag 6: Gruppenarbeit

Da Tag 5 nicht komplett gefüllt wurde, konnten wir Nachmittags schon anfangen. Man musste die Ergebnisse (also die Präsentation; ca. 10 Minuten) bis zum Mittag des letzten Tages einreichen.

Fazit

Eins muss man direkt sagen: die Unterlagen enthalten noch deutlich mehr Informationen als in der Schulung vermittel werden (können); und das nicht nur aufgrund der zahlreichen Links. Hier muss man auf jeden Fall noch Selbststudium betreiben.

Von den einzelnen Tagen gibt es Aufzeichnungen, auf die man noch ca. 4 Monate Zugriff hat. Leider kann man sie nicht herunterladen. Das ist besonders deswegen schade, weil die Trainer noch jede Menge zusätzliche Informationen rüberbringen. Ich habe jetzt ja schon zwei Trainer erlebt und gerade beim Online Live hörten wir auch viel aus echten Fällen und wie man da oft den Schuldigen auf die Spur gekommen ist.

Würde ich noch mal ein SANS-Training machen: ja.

Würde ich dieses Training weiterempfehlen: ja.

Mir ist der hohe Preis bewusst und privat hätte ich das nicht finanzieren können. Aber ich habe schon einige Trainings in meinem Leben mitgemacht und dieses war (bzw. ist; ich habe ja noch OnDemand) eins der Besten; wenn nicht sogar das Beste. Wer aber die Chance hat es mitzumachen: tut es. Es liesse sich nur durch die InPerson-Version toppen; aber man kann nicht alles haben.

Ich hoffe, dieser Beitrag war interessant und hilft vielleicht sogar weiter. Für mich geht die Lernerei weiter: am 08.10.2021 ist Prüfungstermin;-)

[1] Nein, leider war ich nicht im Gewinner-Team. Wir haben leider eine Frage falsch beantwortet und mich ärgert besonders, dass ich einer bestimmten Spur nicht gefolgt bin.

Veröffentlicht unter forensik, security | Verschlagwortet mit , , | Kommentare deaktiviert für SANS FOR500 Windows Forensics

Buchkritiken

Publiziert am März 15, 2020 von thomas

Auch wenn ich nicht so viel lese wie ich eigentlich möchte (und sollte), so haben sich doch wieder einige gelesene Bücher angesammelt. Diesmal ist aber nur ein Roman dabei; ich bin wohl nicht so der Typ für Fiction (in Buchform).

Im Buch Verschwörungsmythen – Wie wir mit verdrehten Fakten für dumm verkauft werden von Holm Gero Hümmler hat der Autor einen interessanten Ansatz. Er nimmt sich einige bekannte Verschwörungstheorien vor und betrachtet sie rein wissenschaftlich. Dabei versucht er erst gar nicht, sich mit politischen oder weltanschaulichen Argumenten auseinander zu setzen. Im Buch werden nur die Punkte betrachtet, die man naturwissenschaftlich betrachten kann. Dieser Ansatz kommt mir natürlich entgegen. Wenn mir nun mal wieder jemand mit Chemtrails kommt, kann ich zum Buch greifen und die Argumente Stück für Stück abarbeiten. Sehr empfehlenswert!

Bleiben wir bei dem Thema: Angela Merkel ist Hitlers Tochter – Im Land der Verschwörungstheorien von Christian Alt und Christian Schiffer nähert sich dem Thema aus einer anderen Richtung. Was sind das für Leute, die solche Theorien glauben? Zuerst war ihr Plan, eine eigene Verschwörungstheorie aufzubauen. Aber im Laufe ihrer Recherchen haben sie dann gemerkt, dass das Ganze dann doch nicht so lustig ist und haben es lieber gelassen. Gut ist, dass sie nicht direkt starten mit „die sind ja alle blöd“, sondern schon versuchen zu verstehen was diese Leute antreibt. Desto tiefer sie in den Kaninchenbau eindringen, desto bizarrer wird es und auch desto gefährlicher. Manche Theorien sind echt sehr abgefahren und wenn es dann im letzten Kapitel zu David Icke kommt, dann muss man schon an der menschlichen Intelligenz zweifeln. David Icke ist der mit den Echsenmenschen…

In der Zeitschrift ct gibt es am Ende immer eine Kurzgeschichte. Seit einiger Zeit hat sich der Heise-Verlag entschlossen, das Ganze auszuweiten udn eine eigene Buchreihe rauszubringen. Aus dieser Reihe habe ich mir Die letzte Crew des Wandersterns von Hans-Arthur Marsiske zugelegt. Ich beschränke mich mal auf das, was der Buchdeckel verrät: es geht um die Crew an Bord der ISS, die die Station zur Stilllegung vorbereiten soll. Und es gibt einen zweiten Erzählstrang, über den ich aber nichts verraten will. Das Ganze ist eine durchaus interessante Geschichte.

Mit Glaube wenig Hinterfrage alles Denke selbst Wie man Manipulationen durchschaut von Albrecht Müller habe ich mich etwas schwer getan. Im ersten Teil des Buches beschreibt der Autor, wie Manipulation funktioniert. Verschweigen, Weglassen und Übertreiben sind hier gängige Mittel. Danach gibt er dann Beispiele aus der neueren (west-)deutschen Geschichte. Das ist ja alles ganz gut zu lesen und gerade der erste Teil ist sehr hilfreich; aber bei einigen Beispielen folge ich ihm nicht immer zu 100%. Zum Beispiel erscheint mir das Urteil zu Putin zu wenig kritisch. Zudem wird die Zeit der sozial-liberalen Koalition etwas zu rosig dargestellt; aber ich bin ja auch keine Helmut-Schmidt-Fan. Aber das Buch enthält genug interessante Teile, so dass man einen Kauf durchaus in Erwägung ziehen sollte. Kritische Distanz zu einem Text empfiehlt sich ja grundsätzlich.

In Speichern und Strafen Die Gesellschaft im Datengefängnis von Adrian Lobe geht es um die Gefahren, die sich aus den Datenspuren ergeben, die wir mittlerweile überall hinterlassen. Ich habe ja schon einige Bücher zu dem Thema gelesen; aber hier wurden wieder neue Techniken und Anwendungsfälle vorgestellt, die mir teilweise noch unbekannt waren. Und ich kann nicht behaupten, dass das Buch meinen Paranoia-Level runtergeschraubt hat. Der Autor beschreibt auch mögliche Auswirkungen auf die Gesellschaft als Gesamtheit und diskutiert, ob bestimmte Entwicklungen wünschenswert sind. Leider sind manche Ausführungen zwar interessant, aber sperrig. Das dürfte manche potentiellen Leser abschrecken. Aber interessant war es auf jeden Fall.

Bei diesem Buch muss ich vorab eine Warnung aussprechen: ich bin kein Mediziner und kann somit den Wahrheitsgehalt der Aussagen in dem Buch nicht beurteilen. Da es sich um ein kompliziertes Thema handelt, sind noch weitere Infos notwendig. Es geht um das Buch Depression und Burnout loswerden von Klaus Bernhardt. Warum die Vorbemerkung? Der Autor schreibt, dass Depression und Burnout oft durch die Lebensweise und falsche Ernährung ausgelöst oder verstärkt wird und dass Psychopharmaka meistens nicht helfen. Das sind Thesen, die nicht unbedingt dem entsprechen was ich vorher gehört habe. Allerdings enthält das Buch auch einige interessante Informationen darüber, wie das menschliche Gehirn funktioniert und wie man sich unter Umständen in starken Belastungssituationen selbst helfen kann. Ein Tipp ist, dass man innerlich die Sprache wechseln soll (z.B. auf Englisch), wenn man negative Selbstgespräche führt. Wie gesagt: ich bin kein Mediziner. Aber interessant war es schon.

Ich bin ja (wie ich vielleicht schon mal geschrieben habe) ein großer Fan von Krimiserien, bei denen es um die Ermittlung der Täter mit wissenschaftlichen Methoden geht. Neben Numb3rs und CSI ist das Criminal Minds. In der letztgenanten Serie geht es um das Profiling und die BAU (Behavioral Analysis Unit) des FBI. Serien bilden natürlich nicht die Realität ab und so interessiere ich mich auch für die tatsächlichen Hintergründe. So bin ich auf Die Logik der Tat von Alexander Horn gestossen. Er selbst bezeichnet sich aber nicht als Profiler, sondern als Polizeilicher Fallanalytiker. In seinem Buch schreibt er aber nicht nur über die Fälle. Er beschreibt auch, was einen guten Fallanalytiker ausmacht, wo die Unterscheide zum Beispiel zwischen den USA und Deutschland liegen und er lässt auch nicht aus, wo das Profiling nicht funktioniert hat. Dieser Einblick in seine Arbeit ist mindestens genauso spannend wie ein Krimi im Fernsehen. Das Buch gibt es auch als Taschenbuch. Wer also noch Urlaubslektüre sucht oder aus bekannten Gründen gerade nicht das Haus verlassen darf…

Penetration Testing mit Mimikatz – Das Praxis-Handbuch von Sebastian Brabetz ist eine kurze (230 Seiten) Einführung in Angriffe auf die Windows Anmeldung (insbesondere in Active Directory Umgebungen). Das Buch ist besonders interessant für Leute, die schnell in das Thema einsteigen wollen und zudem einen deutschsprachigen Einstieg suchen. Das Thema „Einstieg“ betone ich hier besonders, da das Buch auf den ersten Seiten den Aufbau einer Testumgebung beschreibt. Wer also schon Erfahrung mit Angriffen auf das Active Directory hat, wird hier vielleicht enttäuscht sein.Die nächsten 20 Seiten widmen sich den Komponenten der lokalen Anmeldung in Windows und dem Thema Kerberos. Das ist kurz, aber ausreichend für das Verständnis der Angriffe.Danach werden dann die einzelnen Angriffe Schritt für Schritt erklärt; von Pass-the-Hash über Silver/Golden Ticket bis hin zu Kerberoasting.Das Buch ist zwar nicht ganz billig mit 27,-€; es stellt aber eine gute Einführung da und jeder Administrator einer Windows Umgebung sollte den Kauf in Erwägung ziehen (nein, ich habe von der Empfehlung nichts;-)).

 

 

Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Buchkritiken

Spielekritik: Detroit: Become Human

Publiziert am März 15, 2020 von thomas

Seit vielen Jahren schon spiele ich Computerspiele; genau genomme hat mein Interesse an Computern damit angefangen (Fort Apocalypse auf dem ATARI 800). Seit der Zeit habe ich viele gute, aber auch schlechte Spiele gespielt. Obwohl mein Hauptinteresse Ego-Shootern gilt (Max Payne 3 habe ich, auch wegen der Story, schon mehrfach durchgespielt), kann ich mich auch für andere Genres begeistern. Und gelegentlich stösst man auf Spiele, die mehr durch ihre Story als durch viel Action begeistern.

Eins dieser Spiele war Life is Strange, dessen Story mich wirklich berührt hat. Interessant war, dass der Verlauf der Story von meinen Handlungen (zumindest teilweise) abhängig war. Und man wurde gelegentlich vor knifflige Entscheidungen gestellt.

Ich bin immer wieder auf der Suche nach Schnäppchen, da ich nur sehr selten den vollen Preis für Spiele bezahlen möchte. Dafür kaufe ich zu viele Spiele und gelegentlich entpuppen sich vermeintliche Spitzenspiele als Enttäuschung. Ja, ich habe auch Duke Nukem Forever und Aliens: Colonial Marines gekauft…

Dabei rutsche mir Detroit: Become Human in die Spielebibliothek. Ich hatte ein deutlich anderes Spiel erwartet (mehr Action). Ich bin nicht enttäuscht worden, obwohl es ganz anders ist. Ohne viel zu spoilern: es geht um eine Gesellschaft, in denen sich die Menschen für verschiedene Zwecke Androiden zulegt (also ähnlich wie bei I Robot; nur dass hier die Androiden wie Menschen aussehen). Man spielt drei verschiedene Androiden und im Lauf der Geschichte trifft man Entscheidungen, die den späteren Verlauf der Geschichte beeinflussen. Eigentlich muss man bei Unterhaltungen nur aussuchen, was man sagen will und in anderen Situationen schnell Tastatur und Maus bedienen. Aber wie gesagt: es ist kein Action-Spiel. Lässt man sich aber darauf ein, so wachsen einem die Charaktere ans Herz. Und das macht den emotionalen Reiz aus, da jeder Charakter sterben kann.

Ich habe das letzte Kapitel mehrfach neu angefangen, weil ich mit meiner Entscheidung an einer Stelle nicht zufrieden war und die zweite Entscheidung zum Tod eines Charakters führte. Vom Spiel wird eigentlich empfohlen, es einmal komplett durchzuspielen und erst dann Entscheidungen abzuändern; aber…screw you;-)

Ich muss es auch noch mal spielen, da mir das Ende immer noch nicht gefällt. Und an dieser Stelle muss ich doch etwas spoilern. Ihr werdet nach dem Durchspielen noch einmal vor eine Entscheidung gestellt. Je nachdem wie ihr euch entscheidet, habt ihr dann die Möglichkeit auf die einzelnen Kapitel zuzugreifen oder nicht.

Die Grafik finde ich sehr gut; die Figuren werden von bekannten Schauspielern dargestellt. Am Bekanntesten dürften Clancy Brown (Highlander) und Lance Henriksen (Aliens) sein. Das Highlight ist aber das Mädchen Alice. Ihre Mimik führt dazu, dass man gar nicht anders kann als ihren Schutz zum obersten Ziel zu machen.

Die Animation könnte stellenweise besser sein; aber mein Rechner ist ja auch nicht mehr der Jüngste (ich habe es unter Windows gespielt).

Vielleicht ist die Botschaft des Spiels ja Einigen zu plump; aber ich fand die Handlung sehr gut und kann das Spiel nur empfehlen.

PS: die Freude an dem Spiel wird dadurch getrübt dass die Werte, die das Spiel herüberbringt, leider (angeblich) in der Firma, die es entwickelt hat, nicht gelebt werden. Auf GAMESTAR.DE könnt ihr ja mal nach Quantic Dream suchen.

 

 

Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Spielekritik: Detroit: Become Human

KAPE – Daten extrahieren und analysieren

Publiziert am September 23, 2019 von thomas

Eine forenische Analyse besteht, grob gesprochen, aus zwei Teilen: der Extraktion von interessanten Daten und der Analyse der extrahierten Daten. Ein bekanntes Tool hierfür ist Autopsy. Vor Kurzem bin ich beim Betrachten eines Videos (YouTube-Kanal von 13cubed) auf ein weiteres Tool gestoßen: KAPE (KROLL Artifact Parser and Extractor). Wie der Name schon vermuten lässt, wird dieses Tool von der Firma KROLL zur Verfügung gestellt. Autor des Tools ist Eric Zimmerman, der schon einige interessante Forensik-Tools entwickelt hat.

Das Tool erfordert eine kostenfreie Registrierung. Nach der Registrierung erhält man einen Download-Link, über den KAPE heruntergeladen werden kann.

KAPE muss nicht installiert werden. Man kann das Verzeichnis, das man nach dem Entpacken erhalten hat, einfach auf einen USB Stick übertragen.

Das Verzeichnis enthält drei Unterverzeichnisse: Documentation, Modules und Targets. Zu den beiden letzten Verzeichnissen kommen wir später; der Inhalt von „Documentation“ besteht aus einer Textdatei mit dem Link zur aktuellen Dokumentation und einem PDF mit den Nutzungsbedingungen. Die kommerzielle Nutzung ist, soweit erkennbar, nicht ausgeschlossen.

Das Hauptverzeichnis selbst enthälteine Datei mit Änderungen (ChangeLog), ein Skript zum Updaten  von KAPE sowie die Kommandozeilen- und die GUI-Version von KAPE.

Das Verzeichnis „Targets“ enthält die Anweisungen, welche Dateien zu sammeln sind. Hierbei ist anzumerken, dass es sich um Textdateien und nicht um Programme handelt!

Schauen wir uns zum Beispiel die Datei zum Sammeln von Dateien zum TrendMicro-Virenscanner an (TrendMicro.tkape):

Description: Trend Micro Data
Author: Drew Ervin
Version: 1.0
Id: 73f8ccea-61cf-4993-aa26-e5cad4f8cc8f
RecreateDirectories: true
Targets:
-
Name: Trend Micro Logs
Category: Antivirus
Path: C:\ProgramData\Trend Micro\
IsDirectory: true
Recursive: true
Comment: ""
-
Name: Trend Micro Security Agent Report Logs
Category: Antivirus
Path: C:\Program Files*\Trend Micro\Security Agent\Report\*.log
IsDirectory: false
Recursive: false
Comment: ""
-
Name: Trend Micro Security Agent Connection Logs
Category: Antivirus
Path: C:\Program Files*\Trend Micro\Security Agent\ConnLog\*.log
IsDirectory: false
Recursive: false
Comment: ""

Die Dateien aus „Targets“ enden alle auf .tkape. In ihnen ist beschrieben, wo KAPE nach Dateien suchen soll. Es kann angegeben werden, ob es sich um Dateien oder ein Verzeichnis handelt und ob rekursiv gesichert werden soll. Somit kann man sich selbst einfach zusätzliche „Targets“ schreiben.

Innerhalb von „Targets“ gibt es verschiedene Unterverzeichnisse für die verschiedenen Applikationsarten. Die obige Datei wurde dem Verzeichnis „Antivirus“ entnommen.

Das Verzeichnis „Modules“ ist ähnlich aufgebaut. Der entscheidende Unterschied ist das Verzeichnis „bin“. Das Auswerten der gesammelten Dateien überlässt KAPE nämlich einer großen Anzahl von Tools. Hier finden sich Eric Zimemrmans eigene Tools, Tools von Sysinternals und noch viele weitere Programme. Wobei diese Aussage nicht ganz richtig ist; „bin“ muss nämlich erst gefüllt werden.

Schauen wir uns aber erst mal eine .mkape-Datei an:

Description: Autoruns reports Explorer shell extensions, toolbars, browser helper objects, Winlogon notifications, auto-start services, and much more.
Category: LiveResponse
Author: Andy Furnas, Encoding updates by piesecurity
Version: 1.1
Id: c95e71bd-7abb-48c3-abae-f48b9ff19dec
BinaryUrl: https://download.sysinternals.com/files/Autoruns.zip
ExportFormat: csv
Processors:
-
Executable: C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
CommandLine: -Command "%kapedirectory%\Modules\bin\autorunsc.exe -a * -s -user * -c -accepteula -nobanner -h | Set-Content -Path %destinationDirectory%\autoruns.csv"
ExportFormat: csv

Wie hier zu sehen ist, wird das Tool Autoruns mit bestimmten Parametern aufgerufen und die Ergebnisse werden in einer CSV-Datei abgespeichert. Wichtig ist hierbei auch noch die Zeile mit „BinaryURL“, die angibt wo das Programm heruntergeladen werden soll.

KAPE erledigt nicht das Herunterladen des Programmes; aber es erleichtert das Suchen nach fehlenden Programmen. Dazu führt man zuerst einmal folgenden Aufruf von KAPE aus (Kommandozeilen- und GUI-Version müssen immer mit administrativen Rechten ausgeführt werden):

kape --mlist . --mdetail

Das Ergebnis sieht dann so aus:

J:\KAPE>kape --mlist . --mdetail

Modules found: 0

Sub directories
!Disabled
BrowsingHistory
EventLogs
FileFolderAccess
FileSystem
LiveResponse
Misc
ProgramExecution
Registry
Timelining

Das ist erst mal nicht so spektakulär. Führt man aber zum Beispiel

kape --mlist BrowsingHistory --mdetail

aus, so werden die Details zu den Tools aus dem Bereich BrowsingHistory angezeigt. Hier als Beispiel „HindSight“:

Module: Hindsight
Description: Hindsight - Chrome browser parsing
Category: BrowsingHistory

Processor details:
Executable: hindsight.exe
Command line: -i %sourceDirectory% -o %destinationDirectory%\Hindsight_output -f xlsx
Export format: xlsx

Executable: hindsight.exe
Command line: -i %sourceDirectory% -o %destinationDirectory%\Hindsight_output -f json
Export format: json

Fehlt nun ein Tool, so steht am Ende der Ausgabe:

The following modules are missing binaries (Module name --> Download URL):
Hindsight --> https://github.com/obsidianforensics/hindsight/releases

Wichtig: der Name des Programms muss genau dem Namen hinter „Executable“ entsprechen! Bei Tools, die in 32-Bit- und 64-Bit-Versionen vorliegen, kann das zu einem Problem führen, da der Prozessortyp oft im Namen enthalten ist.

Sofern noch 32-Bit-Systeme zu untersuchen sind, empfiehlt sich die Zusammenstellung von zwei KAPE-Ordnern je nach Prozessortyp.

Wie wird KAPE nun angewendet? Betrachten wir zuerst den Schritt des Datensammelns. Hierbei kann KAPE ein Live-System auswerten, auf eine externe Platte (natürlich über WriteBlocker) zugreifen oder eine E01-Datei verwenden (E01= Encase File Format). In einem anderen Blog habe ich den Hinweis gefunden, dass man zum Mounten einer E01-Datei nicht den FTK Imager nehmen soll, sondern den Arsenal Image Mounter. Der Grund dafür ist wohl dass der FTK Imager keine Volume Shadow Copies zugreifbar macht[1].

Beim Aufruf bedienen wir uns eines kleinen Tricks. Die GUI-Version zeigt nach der Auswahl der Optionen die entsprechende Kommandozeile an. Interessant ist hierbei, dass die korrekte Kommandozeile erst angezeigt wird, nachdem man in das Feld „Current Command Line“ geklickt hat.

Hier ein einfacher Aufruf:

.\kape.exe --tsource C:\Users\Thomas --tdest J:\KAPE_Daten\Targets --tflush --target Firefox,WebBrowsers --gui

Der Schalter „–gui“ würde bei einem Aufruf über die Kommandozeile natürlich weggelassen.

KAPE soll also nur die Daten kopieren, die die Targets Firefox und WebBrowsers betreffen. Diese Daten sollen unterhalb von „C:\Users\Thomas“ gesucht und nach „J:\KAPE_Daten\Targets“ kopiert werden. Dabei soll das Zielverzeichnis vorher geleert werden!

Hinter dem Target „WebBrowsers“ verbirgt sich der Aufruf für die Targets der Browser Chrome, Edge, Internet Explorer und FireFox; insofern war der Parameter „FireFox“ redundant.

Etwas irritierend sind die Aufrufe innerhalb von FireFox.tkape:

Path: C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*\places.sqlite*

Hier wird explizit C: angegeben, was nicht zwingend der Laufwerksbuchstabe sein muss, unter dem das Image eingebunden ist. In einem weiteren Artikel werde ich das Mysterium hoffentlich auflösen können.

Den Aufruf kann man aber noch verfeinern:

.\kape.exe --tsource C:\Users --tdest J:\KAPE_Daten\Targets --tflush --target Firefox --vss --vhdx test --zv false --gui

Der Schalter „–vss“ weist KAPE an, auch in den Volume Shadow Copies nach Daten zu suchen. Interessant ist auch der Schalter „–vhdx test“. Hiermit werden die Daten nicht einzeln kopiert, sondern es wird eine VHDX-Datei erzeugt (mit dem Namen „test“). Diese Datei soll aber nicht gepackt werden; deshalb der Schalter „–zv false“. Als Ziele stehen noch VHD- und ZIP-Dateien zur Auswahl.

Basierend auf dem SHA1-Hash der gefundenen Dateien findet auch noch eine Deduplizierung statt. Ist das nicht gewünscht, kann das mit dem Schalter „–tdd“ abgeschaltet werden.

Sofern bestimmte Dateien nicht kopiert werden sollen (obwohl sie zum Target passen), dann können entsprechenden SHA1-Hashes übergeben werden.

Werden die Dateien in einen VHDX- oder VHD-Container bzw. als ZIP kopiert, so kann die Zieldatei per SFTP übertragen oder in AWS S3 bzw. Azure Storage kopiert werden.

Hinweis: bei einem Live-System benötigt KAPE zwei Durchläufe, um in Benutzung befindliche Dateien auch kopieren zu können.

Liegen die kopierten Datein nun vor, können sie mit den passenden Modulen weiterbearbeitet werden.

Bleiben wir bei unserem Beispiel mit den Browserdaten. Als Quelle wird nun das Zielverzeichnis des obigen Aufrufs genommen. Die verarbeitenden Programme sind „Browsing History View“ von NirSoft und „Hindsight“.

.\kape.exe --msource J:\KAPE_Daten\Targets --mdest J:\KAPE_Daten\Modules --mflush --module BrowsingHistoryView,Hindsight 

Mit dem Schalter „–zm“ können die Ergebnisse gepackt werden; „–zpw <Passwort>“ legt ein Passwort auf die Datei.

Es können noch weitere Parameter gesetzt werden; aber für erste Gehversuche sollten die Angaben erst mal reichen.

Sofern es zu Problemen kommt, liegen im „Targets“- und im „Modules“-Ordner Protokolldateien.

[1] https://binaryforay.blogspot.com/2019/02/introducing-kape.html

 

Veröffentlicht unter forensik, security | Kommentare deaktiviert für KAPE – Daten extrahieren und analysieren

Mehr Lesestoff

Publiziert am Juni 29, 2019 von thomas

Ich frage mich ja immer, warum Menschen zu Terroristen oder Amokläufern werden. Zu diesem Thema hatte ich schon Einiges gelesen; aber neulich fiel mir ein weiteres Buch dazu in die Hände.

Von Hass erfüllt von Nils Böckler und Jens Hoffmann versucht die Frage zu klären, was Menschen zu solchen Taten treibt. Der Schwerpunkt liegt hier bei Islamisten und Rechtsradikalen.

Einige Punkte in dem Buch sind nicht ganz unbekannt: oft handelt es sich um gescheiterte Existenzen, die ihrem Leben einen (makabren) Sinn geben wollen. Spannend war zu sehen, welche Parallelen es zwischen Tätern aus diesen Gruppen gibt. Und oftmals spielt die Ideologie gar keine so große Rolle. Bei Islamisten ist es wohl eher so, dass die Religin eher vorgeschoben ist; die Täter fielen vorher nicht durch tiefe Religiosität auf bzw. hatten nur geringe Kenntnisse.

Es wird auch auf die Rolle der Medien eingegangen, die durch ihre Berichterstattung oft Nachahmungstäter anregen. Im Buch wird deshalb auch fast immer auf die Nennung der Nachnamen der Täter verzichtet, um ihnen keine zusätzliche Publicity zu geben. Gerade bei Amokläufen kommt es zu Häufungen, da sich Personen „inspiriert“ fühlen. Der Amoklauf an der Columbine High School findet auch heute noch Nachahmungstäter.

Ferner wird auch die Bezeichnung „Einsamer Wolf“ für Einzeltäter kritisiert, da das eher verklärend wirkt.

Alles in Allem ein interessantes Buch.

Veröffentlicht unter buecher | Kommentare deaktiviert für Mehr Lesestoff

Und noch ein Buch…

Publiziert am Juni 15, 2019 von thomas

Seit dem Sommer 2015 steht ja der Vorwurf des Rechtsbruchs im Raum. Wir erinnern uns: viele Flüchtlinge standen an der deutschen Grenze und die Kanzlerin hat damals die Entscheidung getroffen sie aufzunehmen.

Gemäß Abkommen innerhalb der EU ist eigentlich das Land für die Flüchtlinge zuständig, in dem sie zuert die EU betreten. Für Deutschland war das eine bequeme Position, da so nur noch Flüchtlinge eine Chance hatten, die per Flugzeug kamen. Von vielen Seiten gibt es seitdem den Vorwurf, dass damals durch die Regierung geltendes Recht gebrochen wurde.

Vor einiger Zeit habe ich dann bei verfassungsblog.de einen Beitrag gelesen, der erklärte dass es doch nicht so einfach ist. Als ich nun das Buch Die Zauberlehrlinge von Stephan Detjen und Maximilian Steinbeis in die Hände bekam, dachte ich mir: lass es dir doch mal genauer erklären.

Schon mal so viel vorweg: einige Kapitel sind zeimlich trocken; also genau das, was man bei dem Thema erwartet (und ich konnte auch nicht jeder Ausführung folgen). Andere Kapitel schildern die politischen Abläufe und lassen sich leichter lesen. Und dabei erfährt man schon interessante Dinge.

Ein gr0ßer Kritiker der Kanzlerin war Horst Seehofer. Der war im entscheidenden Moment (als sich eine große Gruppe Flüchtlinge auf die Grenze zubewegte) übrigens abgetaucht. Das scheint er wohl häufiger zu machen; was auch Parteifreunde oft ärgert. So drückte er sich um die Verantwortung, mit entscheiden zu müssen, und konnte nachher schön kritisieren. Meine gute Erziehung verbietet mir das angemessen zu kommentieren.

Interessant war auch der Hinweis im Buch darauf, dass die Regierung die Grenzen „geöffnet“ hätte. „Öffnen“ setzt voraus, dass etwas geschlossen ist. Nur gab es ja keine Grenzkontrollen mehr…

Und was ist jetzt mit dem Bruch der Dublin-Verordnung? Schauen wir mal bei Wikipedia nach:

Nach dem Dublin-Verfahren ist derjenige Staat verpflichtet, das Asylverfahren durchzuführen, in dem die asylsuchende Person zum ersten Mal die EU-Grenzen betritt. Ergibt diese Prüfung, dass ein anderer Dublin-Staat für den Asylantrag zuständig ist, so wird dieser Staat gebeten, die asylsuchende Person zu übernehmen.

Klingt ja erst mal einleuchtend, oder? Also wären damals die Grenzländer der EU zuständig gewesen. Aber  die Verordnung geht noch weiter:

Selbsteintrittsrecht: Jeder Mitgliedsstaat kann im Einzelfall einen sogenannten Selbsteintritt ausüben und unabhängig von den genannten Kriterien die Zuständigkeit für einen bei ihm gestellten Antrag übernehmen. Dieser ist an keine festen Voraussetzungen geknüpft. Die Übernahme der Zuständigkeit kann aus politischen oder humanitären Gründen erfolgen. Ein Anspruch auf die Ausübung eines Selbsteintritts besteht nicht, da eine Entscheidung darüber im Ermessen des BAMF liegt.

Wenn die Leute nur mal mehr als den ersten Satz lesen würden…

Das Buch beschreibt auch noch die Diskussionen von Staatsrechtlern, die auch ein lustiges Völkchen zu sein scheinen.

Ich halte das Buch für sehr interessant und sehr wichtig; auch wenn man sich durch manche Passagen durchbeissen muss.

Wichtig ist es beim Lesen eins im Hinterkopf zu behalten: Jura ist keine exakte Wissenschaft. Man kann bestimmte Gesetze und Verordnungen auch anders interpretieren (das Buch behauptet auch nicht, neutral zu sein). Aber es zeigt ganz klar, dass es einen „eindeutigen“ Rechtsbruch wohl nicht gegeben hat.

Veröffentlicht unter buecher | Kommentare deaktiviert für Und noch ein Buch…