Incident Response Forensik: Werkzeuge und Vorgehen bei Sicherheitsvorfällen

Bei einem Sicherheitsvorfall zählt jede Minute - aber vorschnelles Handeln kann Beweise vernichten. Forensische Methodik und die richtigen Werkzeuge sind der Unterschied zwischen einem vollständig aufgeklärten Vorfall und einem unsicheren “Irgendwas ist passiert”. Dieser Guide zeigt die wichtigsten IR-Forensik-Tools und ihre Anwendung.

IR-Forensik Grundprinzipien

Grundregeln der digitalen Forensik:

1. Ordnung of Volatility (Reihenfolge der Beweissicherung):
   → Erst die flüchtigsten Daten sichern!

   Reihenfolge (am flüchtigsten zuerst):
   1. CPU-Register und Cache         → bei Shutdown weg
   2. RAM (Arbeitsspeicher)          → bei Shutdown weg
   3. Netzwerkverbindungen/-state    → bei Shutdown weg
   4. Laufende Prozesse              → bei Shutdown weg
   5. Datei-System-Zustand           → bleibt erhalten
   6. Festplatten-Inhalt             → bleibt erhalten
   7. Remote-Logs (SIEM)             → bleibt erhalten
   8. Physische Medien (Backup)      → bleibt erhalten

2. Chain of Custody:
   → JEDER Handgriff am Beweismittel dokumentieren!
   → Wer hat was, wann, warum mit dem System gemacht?
   → Forensische Kopie: Hash vor und nach Kopierung verifizieren
   → Original-System: so wenig wie möglich anfassen

3. Write-Blocker:
   → Hardware oder Software verhindert Schreibzugriff auf Original-Medium
   → Original-Festplatte: READ ONLY
   → Alle Analysen: nur auf forensischer Kopie!

4. Hash-Verifizierung:
   # SHA256 vor Analyse:
   sha256sum /dev/sdb > original.sha256
   # Forensische Kopie erstellen:
   dd if=/dev/sdb of=/forensics/image.dd bs=4096 conv=notrunc,noerror,sync
   # SHA256 der Kopie:
   sha256sum /forensics/image.dd
   # Beide müssen identisch sein → Integrität bestätigt

Memory Forensics mit Volatility3

RAM-Analyse (flüchtigste Beweise!):

RAM-Image erstellen:
  # Windows (Live-System, Admin!):
  # WinPmem (kostenlos):
  winpmem_mini_x64_rc2.exe --output C:\forensics\mem.raw

  # DumpIt (Magnet Forensics):
  DumpIt.exe /OUTPUT C:\forensics\mem.dmp

  # Linux:
  # LiME (Kernel-Modul):
  sudo insmod lime-5.x.x-generic.ko "path=/forensics/mem.lime format=lime"

Volatility3 Analyse (Python3):
  # Installation:
  pip install volatility3

  # Basis-Informationen:
  python3 vol.py -f mem.raw windows.info

  # Laufende Prozesse:
  python3 vol.py -f mem.raw windows.pslist
  python3 vol.py -f mem.raw windows.pstree  # Hierarchisch

  # Versteckte/ungelinkte Prozesse (Rootkit!):
  python3 vol.py -f mem.raw windows.psscan  # Rohe Heap-Suche

  # Netzwerkverbindungen:
  python3 vol.py -f mem.raw windows.netscan

  # DLL-Injektionen finden:
  python3 vol.py -f mem.raw windows.malfind
  # Zeigt Speicherbereiche mit ausführbarem Code aber ohne zugehörige DLL

  # CMD-Befehle aus RAM:
  python3 vol.py -f mem.raw windows.cmdline

  # PowerShell-History aus RAM (wenn aktiv war):
  python3 vol.py -f mem.raw windows.strings | grep -i "powershell\|IEX\|Invoke"

  # Prozess-Speicher dumpen:
  python3 vol.py -f mem.raw windows.dumpfiles \
    --pid 1234 --output-dir /forensics/dumps/

  # Registry-Hives aus RAM:
  python3 vol.py -f mem.raw windows.registry.hivelist
  python3 vol.py -f mem.raw windows.registry.printkey \
    --key "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

Disk Forensics mit Autopsy

Festplatten-Forensik:

Autopsy (Sleuth Kit GUI, kostenlos):
  → Windows und Linux
  → Analysiert: Dateisysteme (NTFS, FAT32, ext4, HFS+)
  → Features: gelöschte Dateien, Timeline, Keyword-Suche, Hash-Sets

  Workflow:
  1. New Case → Case-Daten eingeben
  2. Add Data Source → Image (DD, E01), Laufwerk, Ordner
  3. Ingest Modules auswählen:
     ✓ Hash Lookup (NSRL: bekannte gute Dateien herausfiltern)
     ✓ Keyword Search (Passwörter, IP-Adressen, etc.)
     ✓ Web Artifacts (Browser-History, Downloads, Cookies)
     ✓ Email Parser
     ✓ Recent Activity
  4. Analyse starten

Forensische Kopie erstellen (dd):
  # Bit-genaue Kopie mit Fehlerbehandlung:
  dd if=/dev/sdb of=/forensics/disk.dd \
    bs=4096 \
    conv=notrunc,noerror,sync \
    status=progress

  # Hash-Verifizierung:
  sha256sum /dev/sdb > /forensics/original.sha256
  sha256sum /forensics/disk.dd > /forensics/copy.sha256
  diff /forensics/original.sha256 /forensics/copy.sha256

  # EWF-Format (Enterprise): dcfldd oder ewfacquire
  ewfacquire -t /forensics/case01 /dev/sdb

$MFT-Analyse (NTFS-Master-File-Table):
  # MFT enthält: alle Dateien, Zeitstempel, Größe, Cluster
  # Gelöschte Dateien: im MFT als "unallocated" markiert

  # MFTECmd (Eric Zimmermann, kostenlos):
  MFTECmd.exe -f C:\Windows\$MFT --csv C:\forensics\mft.csv

  # Interessante Zeitstempel:
  # Created, Modified, Record Changed, Accessed ($STANDARD_INFO + $FILE_NAME)
  # Timestomping: $STANDARD_INFO ≠ $FILE_NAME → Manipulation!

Timeline-Erstellung mit plaso

Super-Timeline (alle Events in einer Zeitlinie):

plaso / log2timeline:
  # Alle Artefakte eines Systems in eine Timeline konvertieren:
  log2timeline.py --storage-file /forensics/timeline.plaso /forensics/disk.dd

  # Parsers wählen (schneller):
  log2timeline.py \
    --parsers "win_reg,winevtx,winprefetch,chrome_history,firefox_history" \
    --storage-file /forensics/timeline.plaso \
    /forensics/disk.dd

  # Timeline als CSV exportieren:
  psort.py \
    -o l2tcsv \
    -w /forensics/timeline.csv \
    /forensics/timeline.plaso

  # Nach Zeitraum filtern:
  psort.py \
    -o l2tcsv \
    -w /forensics/timeline-24h.csv \
    /forensics/timeline.plaso \
    "date > '2026-03-03' AND date < '2026-03-05'"

Timeline analysieren:
  # In Excel/LibreOffice: Pivot-Table nach Zeit + Event-Typ
  # In Elastic/Kibana: Timeline als Kibana-Dashboard

  # Kritische Events in Windows:
  Event ID 4624: Erfolgreicher Login
  Event ID 4625: Fehlgeschlagener Login
  Event ID 4688: Neuer Prozess gestartet
  Event ID 4698: Scheduled Task erstellt
  Event ID 4776: NTLM-Authentication
  Event ID 7045: Neuer Service installiert (Persistenz!)
  Event ID 4104: PowerShell Script Block ausgeführt

Windows Event Logs direkt analysieren:
  # EvtxECmd (Eric Zimmermann):
  EvtxECmd.exe -d C:\Windows\System32\winevt\Logs \
    --csv C:\forensics\evtx.csv \
    --csvf evtx_output.csv

  # Dann in Timeline.Explorer anzeigen (kostenlos)

Malware-Analyse

Statische und dynamische Malware-Analyse:

Schnelle Triage (ohne Ausführung):
  # VirusTotal-Upload:
  curl --request POST 'https://www.virustotal.com/api/v3/files' \
    --header "x-apikey: $VTAPI" \
    --form file=@malware.exe

  # PE-Analyse (Windows-Executables):
  # PEStudio (kostenlos, Windows):
  → Imports/Exports, Strings, Entropy, Sections
  → Suspicious Strings: CreateRemoteThread, WriteProcessMemory, WinExec

  # pestudio-CLI Äquivalent:
  strings malware.exe | grep -E "CreateRemoteThread|WriteProcessMemory|VirtualAlloc"
  strings malware.exe | grep -E "http://|https://|cmd.exe|powershell"

  # Dateityp-Erkennung:
  file malware.exe  # Prüft Magic Bytes, nicht Extension
  exiftool malware.exe  # Metadata

Ghidra (NSA, kostenlos, Disassembler):
  → Import: Datei → Analyse → Funktionen
  → Decompiler: Assembler → Pseudo-C
  → Xrefs: welche Funktionen rufen was auf?
  → Strings-Window: alle statischen Strings
  → Bookmarks: verdächtige Funktionen markieren

Dynamische Analyse (Sandbox):
  # Cuckoo Sandbox (selbst-gehostet):
  cuckoo submit malware.exe
  cuckoo web  # Web-UI für Report

  # Online-Sandboxes:
  → any.run (interaktive Sandbox)
  → Joe Sandbox (detaillierter Report)
  → Hybrid-Analysis (Falcon Sandbox, kostenlos)

  # Report enthält:
  → Alle Netzwerkverbindungen (IPs, Domains)
  → Datei-System-Änderungen (neue Dateien, modifizierte Registry)
  → Prozess-Baum (welche Prozesse spawnen?)
  → Speicher-Dumps der verdächtigen Bereiche

FLARE VM (Forensics & Malware Analysis):
  # Windows-VM komplett für RE/Malware-Analyse:
  # Enthält: Ghidra, x64dbg, IDA Free, SysinternalsSuite,
  #          PEStudio, die-die-die, pestudio, Cutter, dnSpy, etc.
  # Installation: https://github.com/mandiant/flare-vm

Netzwerk-Forensik bei IR

Netzwerk-Traffic-Beweissicherung:

Netzwerk-Traffic aufzeichnen:
  # tcpdump auf Netzwerk-Sensor:
  tcpdump -i eth0 -w /forensics/capture_$(date +%Y%m%d_%H%M%S).pcap

  # Nur Traffic von verdächtigem Host:
  tcpdump -i eth0 -w /forensics/victim.pcap host 192.168.1.100

  # Ring-Buffer (kontinuierliche Aufnahme, 10x 100MB):
  tcpdump -i eth0 -w /forensics/capture_%Y-%m-%d_%H:%M:%S.pcap \
    -G 3600 -W 24  # 1h Rotation, 24 Files

Retrospektive Analyse (wenn kein Live-Capture):
  → Firewall-Logs: welche externen IPs wurden kontaktiert?
  → Proxy-Logs: welche URLs, welche User-Agents?
  → DNS-Logs: welche Domains wurden aufgelöst?
  → NetFlow-Daten: Volumen zwischen Hosts

  # Zeek (Bro) für bestehende PCAP:
  zeek -C -r /forensics/capture.pcap local
  ls -la *.log  # conn.log, dns.log, http.log, ssl.log, files.log

IOC-Extraktion aus Netzwerk-Traffic:
  # IPs aus PCAP:
  tshark -r capture.pcap -T fields -e ip.dst | sort -u > dst_ips.txt

  # Domains aus DNS:
  tshark -r capture.pcap -Y "dns.flags.response==0" \
    -T fields -e dns.qry.name | sort -u > dns_queries.txt

  # User-Agents (Malware-Signatur!):
  tshark -r capture.pcap -Y http.request \
    -T fields -e http.user_agent | sort | uniq -c | sort -rn

  # Alle übertragenen Dateien extrahieren:
  tshark -r capture.pcap --export-objects http,/forensics/http_objects/

Dokumentation und Reporting

IR-Forensik Dokumentation:

Evidence Log:
  ─────────────────────────────────────────────────────────
  Case: IR-2026-0304-001
  Analyst: Max Müller (CERTIFIED)
  Evidence #: EV-001
  Item: Dell Laptop SN: ABC123456
  Acquired: 2026-03-04 14:30 UTC
  Location: Büro 205, Frankfurt
  Hash (SHA256-Original): a1b2c3...
  Hash (SHA256-Image): a1b2c3... (identisch ✓)
  Chain of Custody:
    2026-03-04 14:30 - Sichergestellt von: Max Müller
    2026-03-04 14:45 - Übergabe an: Lisa Schmidt (Forensics Lab)
    2026-03-04 15:00 - Imaging begonnen
  ─────────────────────────────────────────────────────────

IR-Timeline (Attack Timeline):
  # Erstellt aus: SIEM-Events + Endpoint-Logs + Forensik-Timeline
  # Format:
  Datum       Zeit    Event                               Source
  2026-03-01  09:15   Phishing-E-Mail empfangen          Exchange
  2026-03-01  09:22   Link in E-Mail geklickt            Proxy
  2026-03-01  09:23   Malware heruntergeladen             Proxy, EDR
  2026-03-01  09:23   Prozess gestartet: payload.exe     Sysmon 4688
  2026-03-01  09:24   PowerShell gestartet (inject)      Sysmon 4688
  2026-03-01  09:25   Verbindung zu 185.x.x.x:443        Firewall
  2026-03-02  12:00   Credentials extrahiert (mimikatz)  Sysmon/EDR
  2026-03-03  08:30   Lateral Movement zu SQL-Server      Firewall/IPS

Abschlussbericht:
  1. Executive Summary: was passiert, impact, aktueller Status
  2. Attack Timeline: chronologisch
  3. Initial Access: wie gelangte Angreifer ins Netzwerk?
  4. Lateral Movement: welche Systeme wurden bewegt?
  5. Persistence: welche Persistenz-Mechanismen wurden genutzt?
  6. Data Exfiltration: wurden Daten gestohlen? welche?
  7. IOCs: alle IPs, Domains, Hashes, Registry-Keys
  8. Empfehlungen: sofort, kurzfristig, langfristig
  9. Lessons Learned: was hätte früher erkannt werden können?