Korrelation von Zeitstempeln und Pfadangaben von Ausführungsartefakten eines Windows 1x Systems
(2022)
Die Sicherheitslage in Deutschland wird für das Berichtsjahr 2021 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als angespannt bis kritisch beschrieben. Ein Grund für diese Einschätzung ist, die Zunahme von Ransomware-Angriffen und die daraus resultierenden Schäden. Derartige Angriffe müssen im Rahmen eines Incident Response und Digital Forensic (kurz DFIR) Prozess aufgeklärt, eingedämmt und weitgehend rückgängig gemacht werden. Die immer größer werdenden Mengen an heterogenen Daten und die immer kürzeren Zeitabschnitte, die für eine Analyse zur Verfügung stehen, sind Herausforderungen, mit denen die Incident Responder und die Digitalen Forensiker konfrontiert sind.
Diese Arbeit verfolgt das Ziel, den Aufwand einer forensischen Untersuchung zu verringern, in dem Ausführungsartefakte von Windows 1x Systemen anhand der in ihnen enthaltenen Pfadangaben und Zeitstempel miteinander korreliert werden. Die praktische Anwendbarkeit der in dieser Arbeit gewonnen Erkenntnisse wurde in einem Proof-of-Concept demonstriert. Dessen Umsetzung erfolgte mithilfe von Angular, Flask und Neo4j.
Im Jahr 2019 verzeichnete das Bundeskriminalamt in der Polizeilichen Kriminalstatistik einen neuen Höchststand an erfassten Fällen der Computerkriminalität. Zeitgleich lag die Aufklärungsquote für diesen Bereich der Kriminalität auf dem zweitniedrigsten Stand seit Beginn der Erfassung im Jahr 1987. Die digitale Forensik steht vor der Herausforderung, dass eine Ermittlung eine stetig wachsende Menge an heterogenen Daten umfasst. Eine Quelle für diese Daten bildet das Microsoft Betriebssystem Windows 10.
Diese Bachelorarbeit beschäftigt sich mit Artefakten eines Windows 10 Systems und damit, wie diese miteinander korreliert werden können. Ziel ist es eine Möglichkeit zu finden, den Forensiker bei einer forensischen Untersuchung zu unterstützen. Für diesen Zweck wurde eine Ontologie entwickelt, welche anhand ähnlicher Artefaktattribute eine Korrelation ermöglicht. Die praktische Umsetzung der Ontologie erfolgte mithilfe der Graphdatenbank Neo4j. Die Möglichkeiten der Datenbank wurde anhand von, für den Forensiker interessanten, Abfragen demonstriert.