Es ist einige Zeit vergangen, seit meinem letzten Beitrag. Da ich vorübergehend die Rolle eines „Manager Manage Service“ übernommen habe, wurde die zeitliche Belastung natürlich nicht geringer.
So lerne ich nun einen weiteren Teil der großen IT-Welt kennen, nehme mir aber doch auch weiterhin die Zeit für meine Passion – die IT- und Informationssicherheit.
Über Lina Lau, deren Beiträgen ich schon einige Zeit folge und von der ich sehr viel lernen kann, wurde mir das USN-Journal (Update Sequence Number Journal) in Erinnerung gerufen.
(https://en.wikipedia.org/wiki/USN_Journal)
Ja, da war doch etwas, was gerade bei forensischen Auswertungen sehr hilfreich ist – ein „Protokoll der Änderungen“ auf Dateiebene.
Lina nutzt es, um eine besondere Löschtechnik zu untersuchen, die z.B. bei Cyber-Angriffen im Umfeld des Ukraine Krieges zum Einsatz kam.
Wer sich dazu informieren möchte, kann sich einmal bei MITRE ATT&CK umschauen:
https://attack.mitre.org/techniques/T1070/004/ (beschreibt die Technik)
https://attack.mitre.org/groups/G0016/ (beschreibt die Angreifer)
Neugierig wie ich nun einmal bin, habe ich mir dann überlegt, welche Werkzeuge ich verwenden kann, um das USN Journal auszulesen.
Jurassic Park lässt grüßen – ein Tool nennt sich „Velociraptor“. (https://docs.velociraptor.app/)
Das ist ein einfaches und gleichzeitig mächtiges Werkzeug zum „Hunting“.
Wann setzt man es ein?
Zum Beispiel dann, wenn es Angreifern gelungen ist, in ein IT-System einzudringen im Rahmen der Digital Forensic and Incident Response (DFIR).
https://www.crowdstrike.de/cybersecurity-101/digital-forensics-and-incident-response-dfir/
Anders als bei der klassischen Forensik arbeite ich nicht an einem „Image“ also einer Kopie eines Datenträgers, um möglichst gerichtsverwertbare Beweise zu sichern. Mit Velociraptor arbeite ich direkt in den Computersystemen.
Dazu wird zuerst ein Server installiert, über den alle Aktivitäten gesteuert werden.
Auf den Computern und Servern ist ein sogenannter „Agent“ installiert, der eine Abfrage gesendet bekommt und die Ergebnisse zur Auswertung an den Server zurücksendet.
Die gefundenen Ergebnisse lassen sich am Server weiter verdichten und auswerten.
Wie sehr oft bei „Open Source“ Software gibt es eine Unmenge an „Artifacts“ der „Community“, auf die ich zurückgreifen kann.
https://docs.velociraptor.app/artifact_references/
Das sind „Standardsuchen“ und einige davon ermöglichen den Zugriff auf die USN Daten.
Bei der Jagd (hunting / Go Hunt) kann ich nun sehr viele Systeme gleichzeitig prüfen lassen, um bestimmte Merkmale zu erkennen, die beim Einsatz des Lösch-Programmes SDelete entstehen.
Für die forensische Untersuchung eines Angriffes mit SDelete greift Lina Lau auf das USN Journal zu.
Nun muss nicht jeder mit Velociraptor umgehen können – das ist eher etwas für erfahrene Anwender.
Aber – es könnte Sinn machen, den Einsatz entsprechend vorzubereiten.
Voraussetzung für eine erfolgreiche Jagd ist nämlich, dass der „Agent“ auf den Systemen bereits installiert wurde und auch der Server verfügbar ist.
Sonst würde man bei einem echten Angriff nicht schnell genug reagieren können.
Solche Werkzeuge kann man im Rahmen der IT- und Informationssicherheit präventiv einplanen, um sich auf einen Angriff vorzubereiten oder sein System regelmäßig nach Schwachstellen scannen zu lassen.
Dabei müssen auch Aspekte wie das zusätzliche Risiko durch den Einsatz geprüft und beurteilt werden. Nicht dass am Ende mehr Risiken als Vorteile entstehen.
Bei mir läuft nun der Velociraptor auf jeden Fall im Netzwerk und auch meine Server und Clients sind vorbereitet.
Zusammen mit einem weiteren Tool mit dem Namen „Greenbone Security Assistant“, der regelmäßige Schwachstellenscans durchführt.
Nicht immer muss man für Sicherheit große Summen investieren.
Manchmal kann man auch frei verfügbare Programme verwenden, die einen erstaunlichen Nutzen bieten.
So zahlt es sich für mich immer wieder aus, dass ich einen nicht unerheblichen Teil meiner Zeit für „Recherchen“ verwende, um gerade auch solche Optionen im Auge zu behalten und neue Tools zu finden.
Tatsächlich sollte ein CISO immer auch seine Augen und Ohren offen halten, um mithalten zu können.
Be prepared for Go Hunt …