Das Nutzen unsicherer Netzwerke kann einen Compliance-Verstoß darstellen und das firmeninterne Netzwerk gefährden. IT-Forensiker können alle jemals verbundenen Netzwerke eines Windows-Systems identifizieren. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.
Der Inhalt im Überblick
Erkennen von nicht regel- und wertekonformem Verhalten
Besteht ein begründeter Verdacht, dass ein Mitarbeiter des Unternehmens, entgegen der IT-Richtlinie, unsichere Netzwerkverbindungen nutzt, sollte dies aus Sicherheitsgründen untersucht werden. Unsichere Netzwerke sind z.B. öffentliche WLAN-Zugänge bei denen man nicht sicher sein kann, ob diese bereits kompromittiert sind. Aber auch die unerlaubte Nutzung von VPN-Diensten kann darunterfallen. Es steht somit nicht nur ein möglicher Compliance-Verstoß im Raum. Die Nutzung unsicherer Netzwerke eröffnet Angriffsflächen und kann so eine Gefahr für das gesamte firmeninterne Netzwerk darstellen, insbesondere wenn dabei z.B. Zugangsdaten abhandenkommen. Potentiell kompromittierte Endgeräte sollten schnellstmöglich isoliert und bereinigt werden, um das interne Netzwerk zu schützen. IT-Forensiker können zu diesem Zweck eine Netzwerkliste aus deren Registry auslesen.
Die Netzwerkliste
Der SOFTWARE Registry Hive beinhaltet eine Netzwerkliste, welche einige einzigartige forensische Informationen bereithält. Verwendet werden kann die Netzwerkliste, um folgende Hinweise auszuwerten:
- Identifikation von ehemals verbundenen Netzwerken
- drahtlos oder drahtgebundene Verbindung
- Identifikation von Domain- oder Intranet-Namen
- Identifikation von SSIDs
- Identifikation von Gateway MAC-Adressen
Gespeichert sind diese Informationen in der Registry unter:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Unmanaged
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Managed
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Nla\Cache
Die Identifizierung von Intranets und Netzwerken, mit denen ein PC verbunden war, ist von größter Bedeutung. Der SOFTWARE Registry Key gibt nicht nur Aufschluss über Namen, sondern auch die letzte Verbindungsherstellung. Ferner ist die Identifikation von VPN-Verbindungen möglich. Schlussendlich kann die MAC-Adresse der SSID für das Gateway physikalisch lokalisiert werden.
Network Location Awareness (NLA)
Network Location Awareness (NLA) wurde in Windows 7 integriert, um die Feststellung, wo der Computer angeschlossen war und die entsprechende Anpassung der Firewall zu erleichtern. Durch diese Struktur können einige spezielle forensische Informationen erlangt werden.
Für jede verbundene Netzwerkschnittstelle aggregiert die NLA die für den PC verfügbaren Netzwerkinformationen und generiert eine global eindeutige Kennung (GUID), um jedes Netzwerk identifizieren zu können.
Es erstellt ein Netzwerkprofil für jedes Netzwerk, mit dem das Windows-System sich verbindet. Die Windows-Firewall verwendet diese Informationen anschließend, um Regeln für das entsprechende Windows-Firewall-Profil zu erstellen. Auf diese Weise können, je nachdem mit welchem Netzwerk ein System verbunden war, unterschiedliche Firewall-Regeln angewandt werden. Grundsätzlich unterscheidet die Windows-Firewall zwischen „Öffentlich“, „Arbeit“ und „Privat“.
Mit NLA wird eine Liste aller Netzwerke angezeigt, mit denen sich die Maschine jemals über ihr DNS-Suffix verbunden hat. Der letzte Anschluss eines relevanten Netzwerks kann festgestellt werden, indem die letzte Schreibzeit des zugehörigen Schlüssels untersucht wird. Darin sind auch alle Netzwerke aufgeführt, die mit den Betriebssystemen Windows Vista/Windows7-10 über VPN verbunden waren.
Netzwerk Registry Details
Die meisten Informationen der NLA werden unter den Registry Keys
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List
SOFTWARE\Microsoft\Windows\CurrentVersion\HomeGroup
C:\Windows\System32\NetworkList
gespeichert.
Historische Daten können unter dem Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Nla\Cache
ausgelesen werden. Über den Registry Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Signatures\Unmanaged
erhält man folgende Informationen zu allen jemals verbundenen Netzwerken.
Mithilfe der ProfileGuid kann anschließend der letzte Verbindungszeitpunkt und der Netzwerktyp an anderer Stelle der Registry extrahiert werden.
Verbindungszeitpunkte und Netzwerktyp
Unter Windows XP können weitere Informationen unter SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\{GUID}
und unter Windows 7-10 unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network List\Profiles
detektiert werden.
Der NameType Wert gibt Aufschluss über den Verbindungstyp:
- NameType Wert = 0x47 = drahtlose Verbindung
- NameType Wert = 0x06 = Drahtverbindung
- NameType Wert = 0x17 = Broadband (3G)
Die Zeitangaben unter DateCreated und DateLastConnected können mittels des Open Source Tools „DCodeDate“ dekodiert werden. Die Zeiten sind in lokaler Zeit und nicht in UTC gespeichert.
Gewähltes Netzwerkprofil
Der Category Wert zeigt an, welches Netzwerkprofil der Benutzer für das jeweilige Netzwerk ausgewählt hat.
- Public (0)
- Private/Home (1)
- Domain/Work (2)
Wesentliche Daten automatisiert auslesen
Das Open Source Tool „Reg Ripper“ stellt die wesentlichen Daten automatisch zusammen.
Wie bereits beschrieben können Daten außerdem manuell aus der Registry extrahiert und analysiert werden. In vielen Fällen ist ein manuelles Verifizieren unabdingbar, um die Verwertbarkeit digitaler Spuren vor Gericht sicherzustellen.
Lokalisierung des Access Points
Wie dargestellt können wesentliche Fakten zu den jemals mit einem Windows System verbundenen Netzwerken erlangt werden. Anhand der so gewonnenen Daten kann die Verbindung mit unsicheren Netzwerken und ein gegebenenfalls damit einhergehender Compliance-Verstoß nachgewiesen werden. Dies ermöglicht das Erkennen und Schließen möglicherweise entstandener Sicherheitslücken und dient unter anderem der Abwehr von Gefahren, wie einen Schadsoftwarebefall, für das firmeninterne Netzwerk. Zudem können die erlangten Erkenntnisse mit weiteren Daten wie den Ort der Verbindungsherstellung zusammengeführt werden und so ein Blick auf das größere Bild bei der Rekonstruktion eines Sicherheitsvorfalls ermöglichen.