Zum Inhalt springen Zur Navigation springen
Eindringlinge identifizieren: RDP Logs in der IT-Forensik

Eindringlinge identifizieren: RDP Logs in der IT-Forensik

Artikel von Robin Fuchs·20. Oktober 2023

Organisationen und Einzelpersonen befinden sich in einem konstanten Kampf gegen Cyberkriminelle, die versuchen, in ihre Systeme einzudringen und vertrauliche Informationen zu stehlen oder zu manipulieren. In diesem anhaltenden Wettrüsten ist die IT-Forensik zu einem entscheidenden Instrument geworden, um Eindringlinge zu identifizieren, ihre Methoden zu verstehen und Sicherheitslücken zu schließen. In diesem Beitrag wird die Bedeutung von RDP Logs in der digitalen Forensik untersucht und wie sie eine entscheidende Rolle bei der Identifizierung von Eindringlingen spielen.

Was ist RDP überhaupt?

Das Remote Desktop Protocol (RDP) ermöglicht es Nutzern von entfernten Standorten auf andere Computer zuzugreifen und Anwendungen sowie Dienste auf diesen zu steuern. Die dazugehörigen Logs sind Protokolldateien, welche sämtliche Aktivitäten im Zusammenhang mit den RDP-Sitzungen aufzeichnen. Dies umfasst Anmeldungen, Abmeldungen, Verbindungen und Sitzungen. Solche Protokolle bilden eine wertvolle Informationsquelle für forensische Untersuchungen.

IT-Forensiker können anhand der RDP-Logs eine umfassende Zeitleiste der Ereignisse und identifizierbare Muster erstellen, da diese Logs eine Vielzahl von Informationen enthalten, darunter Zeitstempel, IP-Adressen, Benutzernamen und mehr.

Im Bereich der digitalen Forensik sind folgende Aspekte ein wichtiger Bestandteil der Untersuchung:

  • Die Benutzer verbinden sich mit dem System über ihre IP-Adressen. Mittels Geolokalisierung kann die geografische Herkunft der Benutzer bestimmt werden. Dadurch können mögliche Angriffe aus ungewöhnlichen oder verdächtigen Regionen aufgedeckt werden.
  • Zusätzlich erfassen die RDP-Logs Fehler und Warnungen, die während der Sitzungen auftreten. Sowohl technische Probleme als auch mögliche Manipulationen durch Angreifer werden somit identifiziert.
  • Die Protokolle liefern Informationen über die Dauer der RDP-Sitzungen und deren Zeitpunkte. Somit können ungewöhnliche Aktivitäten aufgespürt werden.
  • RDP-Logs zeichnen jede Anmeldung und Abmeldung auf. Unerlaubte Benutzeranmeldungen können im Optimalfall erkannt werden.

Protokolldateien unter Windows

Auf einem Windows System sind die folgenden Protokolldateien von großer Bedeutung. In diesen verstecken sich wertvolle Informationen zu RDP Verbindungen. Diese können mit verschiedenen forensischen Werkzeugen gelesen und interpretiert werden.

Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx

Protokolldatei des Local Session Manager (LSM) unter Windows. Enthält Informationen über Ereignisse und Vorgänge im Zusammenhang mit diesem. Informationen, die bei der Verwaltung von Benutzersitzungen und Remote-Desktop-Sitzungen auf einem Windows-Computer relevant sind, werden hier erfasst.

Diese Protokolldatei zeichnet in der Regel Verbindungen und Anmeldungen auf, die auf dem System geschehen.

Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx

Erfasst alle Informationen in Zusammenhang mit dem RDP Client, der auf dem Windows System vorhanden ist. Über den RDP Client kann sich der Computer über das Remote Desktop Protocol auf ein anderes System verbinden und diesen steuern oder überwachen. Es werden Informationen wie Verbindungsereignisse, Sicherheitsereignisse und auch Leistungsdaten aufgezeichnet.

Diese Protokolldatei zeichnet hingegen Verbindungen auf, wenn sich das System auf andere Systeme verbindet.

Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

Speichert Daten, die im Zusammenhang mit dem Remote Connection Manager stehen. Hierbei liegt der Fokus auf Informationen wie Sitzungswiederherstellungen oder Beendigungen. Diese Protokolldatei kann zusätzlich zu den anderen genutzt werden, um Informationen zu bestätigen.

Security.evtx

Neben den Benutzeranmeldungen, die in dieser Protokolldatei geloggt werden, sind hier auch RDP Verbindungen zu entdecken. Da RDP Verbindungen auch eine erfolgreiche Anmeldung am System sind, werden diese hier ebenfalls verzeichnet. Im Event selbst, kann eine RDP Verbindung oft unter dem Logon Type 3 oder 7 erkannt werden.

Forensische Analyse der RDP Logs

Die Analyse der RDP Logs erfordert spezialisierte Tools und Techniken. IT-Forensiker nutzen in der Regel Software, die es ermöglicht ein sogenanntes Image des Systems zu erstellen, um im Anschluss mit diesem arbeiten zu können. Dies bezweckt, dass die Protokolldateien nicht ihre Integrität verlieren und keine Manipulationen vorgenommen werden.

Folgende Herangehensweisen bringen in einer IT-forensischen Analyse des Systems wertvolle Informationen:

  • Datenfilterung:
    Aufgrund der Menge an Informationen in den Logdateien, müssen diese nach bestimmten Event IDs gefiltert werden.
  • Zeitliche Eingrenzung:
    Meist macht es Sinn den Bereich der möglichen Verbindungen einzugrenzen. Dies ist jedoch fallabhängig.
  • IP Adresse lokalisieren:
    Die Zuordnung von IP-Adressen zu geografischen Standorten kann helfen ungewöhnliche Verbindungen zu identifizieren und auf verdächtige Aktivitäten hinzuweisen.
  • Identifizierung von Mustern und Abweichungen:
    Dies kann auf wiederholte fehlgeschlagene Anmeldeversuche, ungewöhnliche Verbindungsmuster oder verdächtige Benutzerkonten hinweisen.

Weiterführend gibt es unterschiedliche Ereignistypen in den RDP Logs, welche Aufschluss darüber geben, ob es sich um erfolgreiche und fehlgeschlagene Anmeldungen, Verbindungen oder Fehler und Warnungen handelt. Die Analyse jedes Ereignistyps kann wertvolle Hinweise liefern. Beispielsweise können fehlgeschlagene Anmeldeversuche auf Brute-Force-Angriffe hinweisen, während erfolgreiche Verbindungen einen unbefugten Zugriff anzeigen könnten.

Wichtige Event IDs in den RDP Logs

In einer IT-forensischen Analyse werden meist die Event IDs der jeweiligen Protokolldateien in den Fokus gesetzt. Im Folgenden werden die IDs aufgezeigt, die eine wichtige Bedeutung im Zuge der Untersuchung haben.

Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx:

  • Event ID 21: Ein Benutzer hat sich erfolgreich an einer Sitzung angemeldet.
  • Event ID 24: Ein Benutzer hat sich von einer Sitzung abgemeldet.
  • Event ID 25: Ein Benutzer hat eine Sitzung wiederhergestellt.

Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx

  • Event ID 1024: RDP Client versucht eine Verbindung zu einem entfernten Server herzustellen.
  • Event ID 1025: RDP Client hat die Verbindung zu einem entfernten Server hergestellt.
  • Event ID 1026: RDP Client hat die Verbindung zu dem entfernten Server getrennt.

Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

  • Event ID 1149: Erfolgreiche RDP Verbindung mit dem Computer selbst ist hergestellt worden. Muss keine erfolgreiche Anmeldung am System sein.
  • In diesem Log die einzige Event ID, die Informationen zu einer RDP Verbindung gibt.

Security.evtx

  • Event ID 4624: Erfolgreiche Anmeldung durch einen Benutzer am Computer.
  • Event ID 4634: Erfolgreiche Abmeldung vom Computer. Muss nicht zwingend durch den Benutzer initialisiert worden sein.
  • Event ID 4647: Erfolgreiche Abmeldung durch den Benutzer. Über gängiges Logoff Verfahren initialisiert.

Im Laufe einer IT-forensischen Analyse kann es durchaus dazu kommen, dass man noch in Kontakt mit anderen Event IDs oder auch Protokolldateien kommt, die eventuell auch Aufschluss darüber geben können, wie sich ein Benutzer auf dem System verhalten hat. Es sollte nicht nur ein Auge auf die oben genannten Event IDs geworfen werden. Hinweise und Spuren können sich oft auch in anderen Artefakten verstecken.

Relevanz der RDP Logs bei Sicherheitsvorfällen

Durch die Analyse von RDP Logs bei einem Vorfall können oft eine Menge an Informationen über den Angreifer herausgefunden werden. Insbesondere in Bezug auf Verbindungen, die auf das System vorgenommen wurden.

Die sorgfältige Analyse dieser Protokolle ermöglicht es IT-Forensikern verdächtige Aktivitäten frühzeitig zu erkennen und notwendige Schritte zur Sicherheitsverbesserung zu unternehmen. RDP Logs sind unverzichtbare Artefakte in der IT-Forensik, die dazu beitragen, die Sicherheit von Organisationen und Systemen zu gewährleisten und Cyberangriffe aufzuklären.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.