Forensik ist der Zweig der Informatik, der versucht, Hinweise auf Aktivitäten in Computern, digitalen Speichermedien und Netzwerken zu finden. Die meisten Hacking-Aktivitäten und -Tools hinterlassen direkte oder indirekte Beweise, die von einem forensischen Ermittler entdeckt werden können. Die folgende Tabelle fasst einige beliebte Cyber-Forensik-Tools zusammen.

Anti-Forensik ist der Prozess der Unterbrechung oder Behinderung einer forensischen Untersuchung. Sie können dies tun, indem Sie:

• Beeinträchtigung der Qualität, Quantität oder Integrität von Beweismitteln.
• Forensische Analyse erschweren oder unmöglich machen.
• Täuschung forensischer Ermittler.

Der Zweck der Forensik besteht darin, herauszufinden, wer etwas wie getan hat. Daher wird ein Angreifer wahrscheinlich einen oder mehrere der folgenden Gründe haben, diesen Prozess zu unterbrechen:

• Um der Aufmerksamkeit zu entgehen, während sie sich noch innerhalb des Perimeters befinden.
• Sich selbst als Verdächtigen auszuschalten, nachdem sie den Angriff beendet haben.
• Um eine andere Person oder Gruppe von Personen als Verdächtige einzurahmen.
• Zeit und Ressourcen der Organisation zu verschwenden.

Bei einem Penetrationstest ist Anti-Forensik wichtig, da sie über den bloßen Nachweis der Organisation hinausgeht, dass sie bestimmte Schwachstellen hat, die ausgenutzt werden können. Die Organisation kann auch ihre eigenen Reaktionsoperationen und ihr eigenes Personal versagen, obwohl sie es ihnen ermöglichen sollte, so effektiv wie möglich zu arbeiten. Der Pen-Test kann durch Anti-Forensik solche Probleme bewerten.

Hinweis: Berücksichtigen Sie alle Hacking-Tools und -Techniken, die Sie in diesem Kurs gelernt haben. Welche möglichen digitalen Beweise könnten sie hinterlassen, die Sie löschen möchten, um Ihre Spuren zu verwischen?

Der Anti-Forensik-Prozess beruht auf Schwächen, die Computersystemen, forensischen Tools und den menschlichen Ermittlern selbst innewohnen. Dem Angreifer stehen mehrere Techniken zur Verfügung, die diese Schwachstellen ausnutzen können. Im Folgenden finden Sie Beispiele für Anti-Forensik-Techniken, die forensische Prozesse stören oder Ermittler verwirren oder täuschen:

Möglicherweise können Sie einen Pufferüberlauf bei den forensischen Tools eines Ermittlers auslösen, wenn dieser sie verwendet. Dies geschieht häufig, indem eine bösartige Datei als Falle eingerichtet wird – wenn der Ermittler die Datei öffnet, hängt das forensische Tool oder stürzt ab, wodurch es oder verwandte Dateien schwer zu untersuchen sind. Eine Taktik besteht darin, eine Datei zu erstellen, die angreifbare DLLs (Dynamic Link Libraries) ausnutzt, um eine Endlosschleife im Speicher zu erstellen. Eine weitere Taktik ist das Heap-Spraying, bei dem bösartiger Code an bestimmten Stellen in den Speicherhaufen einer Anwendung eingeschleust wird. Wenn ein Ermittler eine Datei (z. B. eine Bitmap) in seinem forensischen Tool öffnet, zwingt die Datei das Tool, Speicher aus dem besprühten Haufen zu lesen und den bösartigen Code auszuführen. Beachten Sie, dass die meisten aktuellen forensischen Tools Schutzmaßnahmen gegen Pufferüberläufe und Heap-Spraying enthalten.

Dies beschreibt Code, dessen Speicherort das Betriebssystem nicht in den permanenten Speicher auslagern darf. Malware kann speicherresident ausgeführt werden, um aktiv zu bleiben, selbst wenn die Anwendung, an die sie normalerweise angehängt ist, nicht mehr ausgeführt wird. Dies kann einen Ermittler oder seine automatisierten Tools zu der Annahme verleiten, dass ein Computer keine Spur von Malware enthält, obwohl die Malware noch aktiv ist. Beachten Sie, dass moderne forensische Tools den Speicher eines Systems auf bösartigen Code scannen können.

Dies ist eine Komprimierungsmethode, bei der eine ausführbare Datei größtenteils komprimiert wird und der nicht komprimierte Teil Code zum Dekomprimieren der ausführbaren Datei enthält. Mit anderen Worten, ein gepacktes Programm ist eine Art selbstextrahierendes Archiv, das das Reverse Engineering seines Inhalts erschwert. Gepackte Malware kann bis zum Entpacken Zeichenfolgenliterale maskieren und ihre Signaturen ändern, um das Auslösen signaturbasierter Scanner zu vermeiden. Daher kann ein forensischer Analyst möglicherweise nicht in der Lage sein, die Art eines gepackten Programms festzustellen, bis es ausgeführt wird und möglicherweise das System infiziert. Beachten Sie, dass das Entpacken der ausführbaren Datei in einer kontrollierten Sandbox-Umgebung einem Analysten helfen kann, dieses Problem zu umgehen.

Analysten verwenden VMs, um eine Sandbox zu erstellen, mit der Malware sicher untersucht und ausgeführt werden kann. Einige clevere Malware kann jedoch erkennen, dass sie in einer Sandbox ausgeführt wird, indem sie ungepatchte Zero-Day-Schwachstellen in der Sandbox-Software ausnutzt oder erkennt, dass die Sandbox direkte Verbindungen zur Malware hat, sodass sie die Malware auf Systemaufrufe überwachen kann. Malware, die weiß, dass sie sich in einer Sandbox befindet, kann ihr Verhalten ändern, um einen Ermittler zu täuschen, dass sie harmlos ist, z. B. wenn sie nur aktiviert wird, wenn sie menschliches Verhalten wie Mausbewegungen erkennt.

Dies ist eine Funktion des NT-Dateisystems (NTFS) von Microsoft, das mehrere Datenströme für einen einzelnen Dateinamen ermöglicht, indem eine oder mehrere Dateien in eine andere verzweigt werden. Apps wie der Datei-Explorer zeigen keine Änderungen der Dateigröße oder anderer Attribute an, wenn sie die Datei beobachten, in die gegabelt wird. So kann eine bösartige ausführbare Datei, die sich als Stream in ein legitimes Programm einfügt, für alltägliche Endbenutzer-Tools verborgen bleiben. Fortgeschrittenere Tools werden jedoch in der Lage sein, ADSs zu erkennen. Beachten Sie auch, dass ab Windows 7 die Möglichkeit, eine Datei mit ADS auszuführen, standardmäßig deaktiviert ist.