Zum Inhalt springen Zur Navigation springen
Daten verraten: Alle jemals verbundenen Netzwerke

Daten verraten: Alle jemals verbundenen Netzwerke

Das Nutzen unsicherer Netzwerke kann einen Compliance-Verstoß darstellen und das firmeninterne Netzwerk gefährden. IT-Forensiker können alle jemals verbundenen Netzwerke eines Windows-Systems identifizieren. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Erkennen von nicht regel- und wertekonformem Verhalten

Besteht ein begründeter Verdacht, dass ein Mitarbeiter des Unternehmens, entgegen der IT-Richtlinie, unsichere Netzwerkverbindungen nutzt, sollte dies aus Sicherheitsgründen untersucht werden. Unsichere  Netzwerke sind z.B. öffentliche WLAN-Zugänge bei denen man nicht sicher sein kann, ob diese bereits kompromittiert sind. Aber auch die unerlaubte Nutzung von VPN-Diensten kann darunterfallen. Es steht somit nicht nur ein möglicher Compliance-Verstoß im Raum. Die Nutzung unsicherer Netzwerke eröffnet Angriffsflächen und kann so eine Gefahr für das gesamte firmeninterne Netzwerk darstellen, insbesondere wenn dabei z.B. Zugangsdaten abhandenkommen. Potentiell kompromittierte Endgeräte sollten schnellstmöglich isoliert und bereinigt werden, um das interne Netzwerk zu schützen. IT-Forensiker können zu diesem Zweck eine Netzwerkliste aus deren Registry auslesen.

Die Netzwerkliste

Der SOFTWARE Registry Hive beinhaltet eine Netzwerkliste, welche einige einzigartige forensische Informationen bereithält. Verwendet werden kann die Netzwerkliste, um folgende Hinweise auszuwerten:

  • Identifikation von ehemals verbundenen Netzwerken
  • drahtlos oder drahtgebundene Verbindung
  • Identifikation von Domain- oder Intranet-Namen
  • Identifikation von SSIDs
  • Identifikation von Gateway MAC-Adressen

Gespeichert sind diese Informationen in der Registry unter:

  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Unmanaged
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Managed
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Nla\Cache

Die Identifizierung von Intranets und Netzwerken, mit denen ein PC verbunden war, ist von größter Bedeutung. Der SOFTWARE Registry Key gibt nicht nur Aufschluss über Namen, sondern auch die letzte Verbindungsherstellung. Ferner ist die Identifikation von VPN-Verbindungen möglich. Schlussendlich kann die MAC-Adresse der SSID für das Gateway physikalisch lokalisiert werden.

Network Location Awareness (NLA)

Network Location Awareness (NLA) wurde in Windows 7 integriert, um die Feststellung, wo der Computer angeschlossen war und die entsprechende Anpassung der Firewall zu erleichtern. Durch diese Struktur können einige spezielle forensische Informationen erlangt werden.

Für jede verbundene Netzwerkschnittstelle aggregiert die NLA die für den PC verfügbaren Netzwerkinformationen und generiert eine global eindeutige Kennung (GUID), um jedes Netzwerk identifizieren zu können.

Es erstellt ein Netzwerkprofil für jedes Netzwerk, mit dem das Windows-System sich verbindet. Die Windows-Firewall verwendet diese Informationen anschließend, um Regeln für das entsprechende Windows-Firewall-Profil zu erstellen. Auf diese Weise können, je nachdem mit welchem Netzwerk ein System verbunden war, unterschiedliche Firewall-Regeln angewandt werden. Grundsätzlich unterscheidet die Windows-Firewall zwischen „Öffentlich“, „Arbeit“ und „Privat“.

Mit NLA wird eine Liste aller Netzwerke angezeigt, mit denen sich die Maschine jemals über ihr DNS-Suffix verbunden hat. Der letzte Anschluss eines relevanten Netzwerks kann festgestellt werden, indem die letzte Schreibzeit des zugehörigen Schlüssels untersucht wird. Darin sind auch alle Netzwerke aufgeführt, die mit den Betriebssystemen Windows Vista/Windows7-10 über VPN verbunden waren.

Netzwerk Registry Details

Die meisten Informationen der NLA werden unter den Registry Keys

  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List
  • SOFTWARE\Microsoft\Windows\CurrentVersion\HomeGroup
  • C:\Windows\System32\NetworkList

gespeichert.

Historische Daten können unter dem Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Nla\Cache ausgelesen werden. Über den Registry Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Unmanaged erhält man folgende Informationen zu allen jemals verbundenen Netzwerken.

Mithilfe der ProfileGuid kann anschließend der letzte Verbindungszeitpunkt und der Netzwerktyp an anderer Stelle der Registry extrahiert werden.

Verbindungszeitpunkte und Netzwerktyp

Unter Windows XP können weitere Informationen unter SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\{GUID} und unter Windows 7-10 unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Profiles detektiert werden.

Der NameType Wert gibt Aufschluss über den Verbindungstyp:

  • NameType Wert = 0x47 = drahtlose Verbindung
  • NameType Wert = 0x06 = Drahtverbindung
  • NameType Wert = 0x17 = Broadband (3G)

Die Zeitangaben unter DateCreated und DateLastConnected können mittels des Open Source Tools „DCodeDate“ dekodiert werden. Die Zeiten sind in lokaler Zeit und nicht in UTC gespeichert.

Gewähltes Netzwerkprofil

Der Category Wert zeigt an, welches Netzwerkprofil der Benutzer für das jeweilige Netzwerk ausgewählt hat.

  • Public (0)
  • Private/Home (1)
  • Domain/Work (2)

Wesentliche Daten automatisiert auslesen

Das Open Source Tool „Reg Ripper“ stellt die wesentlichen Daten automatisch zusammen.

Wie bereits beschrieben können Daten außerdem manuell aus der Registry extrahiert und analysiert werden. In vielen Fällen ist ein manuelles Verifizieren unabdingbar, um die Verwertbarkeit digitaler Spuren vor Gericht sicherzustellen.

Lokalisierung des Access Points

Wie dargestellt können wesentliche Fakten zu den jemals mit einem Windows System verbundenen Netzwerken erlangt werden. Anhand der so gewonnenen Daten kann die Verbindung mit unsicheren Netzwerken und ein gegebenenfalls damit einhergehender Compliance-Verstoß nachgewiesen werden. Dies ermöglicht das Erkennen und Schließen möglicherweise entstandener Sicherheitslücken und dient unter anderem der Abwehr von Gefahren, wie einen Schadsoftwarebefall, für das firmeninterne Netzwerk. Zudem können die erlangten Erkenntnisse mit weiteren Daten wie den Ort der Verbindungsherstellung zusammengeführt werden und so ein Blick auf das größere Bild bei der Rekonstruktion eines Sicherheitsvorfalls ermöglichen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.