Spurensuche, Beweissicherung, Auswertung – Digitale Forensik in der IT-Praxis

Mein Name ist Timothy Mason, ich bin Leiter der Abteilung "Digitale Forensik & Incident Response" bei der SySS GmbH und ich möchte Ihnen meinen Alltag als Digitaler Forensiker näherbringen. Neulich rief mich ein nervöser Kunde an. Obwohl eigentlich überall eine Zwei-Faktor-Authentifizierung eingestellt war, hatte ein Angreifer eine neue Azure-Subscription angelegt. Schon während des Gesprächs konnte ich mich davon überzeugen, als mir der Kunde die Umgebung via Screen-Sharing zeigte. Durch eine Logauswertung fand ich heraus, dass die Subscription über die API angelegt worden war. Des Weiteren konnte ich zeigen, dass für die API der zweite Faktor standardmäßig deaktiviert war. Wir ergriffen einige Sofortmaßnahmen wie die Änderung des Passworts und die Deaktivierung des Accounts, um die Angreifer auszusperren, und machten uns anschließend an die Untersuchung, um zu eruieren, wie die Angreifer an die Zugangsdaten gelangt waren. Hierzu untersuchte ich das Endgerät des betroffenen Benutzers.

Zuerst fertigte ich eine Kopie der Festplatte an, um durch meine Analyse keine Spuren zu vernichten. Anschließend wertete ich Artefakte aus, die auf eine Kompromittierung mit Schadcode des Endgeräts hindeuten könnten. Hierbei konnte ich jedoch keine Malware finden. Das ist zwar keine Garantie, dass das Gerät wirklich sauber ist, jedoch ist es sehr unwahrscheinlich, dass eine hochspezialisierte Kompromittierung vorliegt, um dann als Angriffsvektor eine Subscription in Azure AD anzulegen. Um die Ergebnisse objektiv einordnen zu können, ist es grundsätzlich wichtig, den Angriffskontext genau zu analysieren. Meine Vermutungen legten mir nahe, dass es sich mit sehr hoher Wahrscheinlichkeit um einen Phishing-Angriff handelte. Hierzu überprüfte ich als erstes das E-Mail-Postfach des Benutzers. Auch hier fand ich keine Hinweise darauf, wie die Angreifer an die Zugangsdaten gelangen konnten, weshalb ich Artefakte des Browsers einer genauen Analyse unterzog. Die Artefakte des Browsers sind die Spuren, die beim Surfen im Internet auf dem System zurückbleiben, und in vielen Fällen liefern sie wertvolle Informationen über den Angriff.

Mitten in der Untersuchung klingelte das Notfalltelefon. Ein Kunde meldete sich, dass er vollständig verschlüsselt worden und die Produktion aktuell zum Stillstand gekommen sei. Wir besprachen die ersten Schritte zum Aufbau einer Notfallorganisation und unser Notfallteam rückte aus zu einem Vor-Ort-Einsatz.

Zurück zu meiner forensischen Untersuchung: In den Artefakten des Browsers fand ich den Schlüssel zur Lösung des Rätsels. Nach dem Aufruf einer Nachrichtenseite sah ich Weiterleitungen, die auf das Klicken einer Werbung hindeuteten. Von dort aus gab es eine Weiterleitung auf eine Seite, die aktuell nicht mehr erreichbar ist. Die Reputation der Seite wies ganz klar auf eine Webseite hin, die versucht die Zugangsdaten von Benutzerkonten zu stehlen. Ein letztes Browser-Artefakt zeigte mir, dass der Benutzer dort auf der Seite Zugangsdaten gespeichert hatte, denn das Pop-up zum Speichern tauchte nach der Eingabe von Zugangsdaten auf. Es ist also sehr wahrscheinlich, dass dort auf der Seite Zugangsdaten eingegeben und dann durch die Angreifer später über die API ausgenutzt wurden.

Zum Schluss setzte ich die Puzzlestücke zusammen und es ergab sich das folgende Szenario: Ein Mitarbeiter besucht eine Nachrichtenseite, auf der bösartige Werbung eingeblendet wird. Diese leitet den Benutzer mehrfach weiter und überzeugt ihn schließlich, die Zugangsdaten des Firmenaccounts einzugeben. Durch eine Fehlkonfiguration in der Zwei-Faktor-Authentifizierung ist die API nicht geschützt und die Angreifer finden diese Lücke und nutzen sie aus. Diese Erkenntnisse teilte ich dem Kunden mit. Er war beruhigt, denn die Lücke, die dafür gesorgt hatte, dass die Zwei-Faktor-Authentifizerung unvollständig war, konnte schnell geschlossen werden.

Mein Fazit dieses Tages ist: Trotz Präventionsmaßnahmen wie einer Zwei-Faktor-Authentifizierung ist auch eine effiziente Notfallreaktion manchmal notwendig. Für mich ist es immer ein guter Tag, wenn ich wie in diesem Fall unseren Kunden weiterhelfen kann und damit Schlimmeres verhindert habe.