Zum Inhalt springen Zur Navigation springen
Daten verraten: Spezielle Konfigurationsdaten auslesen

Daten verraten: Spezielle Konfigurationsdaten auslesen

Um eine effiziente IT-forensischen Analyse sicherzustellen, ist es wichtig zu wissen, wie ein System konfiguriert ist. Generell können Konfigurationsdaten wichtige Informationsquellen sein. In diesem Artikel erfahren Sie, wie die Betriebssystemkonfiguration und Programmkonfigurationsdaten ausgelesen werden können. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Einbruch in digitale Infrastrukturen

Der IT-Administrator eines Unternehmens führt regelmäßige Wartungsarbeiten am Server per TeamViewer durch. Dieses Programm ermöglicht es ihm, per Fernzugriff verschiedene Server von seinem Arbeitsplatz aus zu betreuen. Am Tag des Fernzugriffs wird nach der Wartung plötzlich in den Server eingebrochen. Der Verdacht: Ein Keylogger hat die Authentifizierungsdaten während der Wartung mitgeschnitten und für den Angriff verwendet.

Um den Vorfall aufzuklären, ziehen Sie professionelle IT-Forensiker hinzu, die die Windows Registry untersuchen, um über Konfigurationsdaten Spuren des Malwarebefalls zu finden. Hierfür wird der Software-Registry-Hive ausgelesen, welcher verschiedene Betriebssysteminformationen enthält.

Aber auch Programmkonfigurationen können zur Aufklärung des Geschehenen beitragen. Ist der Keylogger beispielsweise über eine E-Mail auf den Rechner gelangt, sollte eine Analyse des E-Mail-Programms durchgeführt werden. War der Browser das Einfallstor, kann eine Untersuchung des Browsers weiterhelfen. Ist ein bestimmtes Tool, wie beispielsweise TeamViewer als Informationsquelle für die Angreifer identifiziert worden, lohnt sich ein Blick in die entsprechenden TeamViewer Registry-Keys. All diese Informationen können im Software-Registry-Hive gefunden werden.

Systeminformationen im Software-Registry-Hive

Zur Identifizierung der Microsoft Betriebssystemversion, des Service Pack Levels und des Installationsdatums kann der SOFTWARE\Microsoft\Windows NT\CurrentVersion Key ausgelesen werden. Die Windows Betriebssystemversion ist wichtig, um eine effiziente Untersuchung des Systems zu gewährleisten. Hierdurch weiß ein Ermittler genau, wo bestimmte Artefakte zu finden und wie diese zu bewerten sind. Das Installationsdatum ist insbesondere unter Windows 10 von Bedeutung, da hier das Datum bei jedem Feature-Update überschrieben wird. Dieses Datum wird außerdem auch in andere Registry-Keys übernommen. Dadurch werden einige wichtige Informationen überschrieben und unbrauchbar, was von zentraler Bedeutung bei der Analyse des Systems ist.

Programme die so konfiguriert sind, dass sie bei dem Log-on eines Benutzers ausgeführt werden, finden sich unter SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run und SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Im Falle eines Keyloggers ist es für den Angreifer wichtig, dass der Keylogger unerkannt bei jeder Verwendung des Rechners gestartet wird, um kontinuierlich Informationen zu sammeln.

Outlook-Konfigurationsdaten im Software-Registry-Hive

Für die Sicherung lokal gespeicherter E-Mails wird zunächst ermittelt, welches E-Mail-Programm verwendet wird und wie dieses konfiguriert ist. Wird für das Senden, Lesen und Archivieren von E-Mails Microsoft Outlook verwendet, kann es wichtig sein zu wissen, in welcher Form die E-Mails auf dem System liegen.

Diese Konfigurationsinformation findet sich unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook. Die Daten geben Aufschluss darüber, welche lokalen Archive verwendet werden und welcher Microsoft Exchange Server vom E-Mail-Programm verwendet wurde.

Bei Outlook-Nutzern kann außerdem das verwendete Standard-Outlookverzeichnis für Anhänge unter SOFTWARE\Microsoft\Office\<version>\Outlook\Security\OutlookSecureTempFolder von Bedeutung sein. Dieser beliebig veränderbare Ort wird hierbei immer in diesem Registry-Key verzeichnet. Verdächtigen Anhängen hinterlassen hier unter Umständen Spuren.

Internet Explorer Konfigurationsdaten im Software-Registry-Hive

Wird der Internet Explorer als Browser verwendet, können verschiedene Informationen zur Konfiguration des Browsers Hinweise liefern. Unter dem Registry-Key SOFTWARE\Microsoft\Windows\CurrentVersion\SettingsSync\BrowserSettings\<Browser Name> finden sich beispielsweise Hinweise zum „IE sync“. Ist die IE-Synchronisation aktiviert, werden Browserartefakte zwischen verschiedenen Geräten synchronisiert.

Welche IE-Artefakte synchronisiert werden und wo diese gespeichert sind, findet sich unter SOFTWARE\Microsoft\InternetExplorer\Capabilities\Roaming.

Der Registry-Key SOFTWARE\Policies\Microsoft\InternetExplorer\Privacy\EnableInPrivateBrowsing enthält Informationen zu Privatsphäre-Einstellungen des Internet Explorers.

TeamViewer Konfigurationsdaten im Software-Registry-Hive

Wird auf einem zu untersuchenden System TeamViewer verwendet, können die TeamViewer-Konfigurationsdaten inklusive permanentem Passwort unter SOFTWARE\WOW6432Node\TeamViewer ausgelesen werden.

Aufklärung der Ereignisse

Durch die aus dem Software-Registry-Hive gewonnenen Konfigurationsdaten lässt sich nicht nur eine effiziente Untersuchung planen. In Kombination mit weiteren Informationen kann hierdurch außerdem rekonstruiert werden, was genau passiert ist. Im Falle des oben beschriebenen Servereinbruchs lässt sich durch die Analyse der Software-Registry-Hive ermitteln, wie der Keylogger auf den Rechner des Administrators gelangte. Dies kann durch unvorsichtiges Öffnen von E-Mail-Anhängen oder auch unbeabsichtigt über den Browser passiert sein. Durch die Untersuchung des Weges, über den der Keylogger auf das System gelangte und den Ablauf des Einbruchs, lassen sich Schwachstellen aufgedecken und schließen. Mitarbeiter können anschließend aufgeklärt und geschult werden, wodurch das Risioko für ähnliche Vorfälle in der Zukunft sinkt.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.