Autopsy Aufgabe

Aus Xinux Wiki
Version vom 23. Juni 2026, 09:18 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Forensik-Szenario präparieren (Disk Salting) = Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target (hier: Tiny11), damit Teilnehmer da…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Forensik-Szenario präparieren (Disk Salting)

Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target (hier: Tiny11), damit Teilnehmer das Image anschließend in Autopsy forensisch zerlegen und die Spuren rekonstruieren.

Prinzip: nicht wahllos Dateien ablegen, sondern eine kohärente Story inszenieren. Jeder Fund muss in die Erzählung passen, sonst entsteht kein Ermittlungs-Narrativ. Am Ende steht ein Lösungsschlüssel, ohne den das Lab nicht bewertbar ist.

Szenario-Konzept

Beispiel-Story (Insider-Exfiltration)
Mitarbeiter C. Mueller will vor der Kündigung Firmendaten mitnehmen.
Er recherchiert eine Tauschplattform, lädt ein Pack-Tool, archiviert
interne Dokumente, kopiert sie auf einen USB-Stick, löscht die Spuren
und manipuliert Zeitstempel.

Daraus ergeben sich automatisch die zu pflanzenden Artefakt-Klassen (Browser, Execution, Dateisystem, USB, Anti-Forensik). Wer die Story zuerst schreibt, säet konsistent.

Alternativ
Malware-Infektion (Download → Ausführung → Persistenz → C2) – verzahnt
sich gut mit der VulnSite-Angriffskette: das präparierte Image ist
das Opfer-System, die Teilnehmer finden ihren eigenen Angriff wieder.

Vorbereitung

Saubere Ausgangslage sichern (Rückfallpunkt)
  • VM herunterfahren, Snapshot anlegen
Realistisches Benutzerprofil anlegen (nicht der Default-Admin)
  • Konto cmueller anlegen, einloggen, kurz "leben" lassen

Alle folgenden Schritte als cmueller interaktiv ausführen – nur dann entstehen die userbezogenen Registry- und Prefetch-Spuren.

Artefakte säen

Browser-Aktivität

Recherche + Download inszenieren (Edge/Firefox normal bedienen)
  • Tauschplattform googeln, ein paar typed URLs erzeugen
  • Pack-Tool (z.B. 7-Zip) "verdächtig" herunterladen
  • ggf. Lesezeichen setzen

Findbar später: History, Downloads, typed URLs, Cache.

Execution-Artefakte

Programme mehrfach starten (erzeugt Prefetch + UserAssist)
  • heruntergeladenes Tool 2–3x per Doppelklick ausführen
Win+R-Befehle absetzen (RunMRU)
powershell
cmd
\\2XX.2XX.2XX.2XX\share
Dokumente öffnen (RecentDocs, JumpLists, LNK)
  • ein paar .docx/.pdf öffnen

Findbar: Prefetch, UserAssist, ShimCache/AmCache, RecentDocs, LNK.

Dateisystem & Exfil

Interne Dokumente archivieren (das "Diebesgut")
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
Datei mit irreführender Endung tarnen
  • projekt_export.7z → urlaubsfotos.jpg umbenennen
Alternate Data Stream verstecken (klassischer Finde-Trick)
cmd /c "echo PASSWORT: 2Xstreng-geheimX2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"
Datei löschen → später recovern
  • ein belastendes Dokument erstellen, dann in den Papierkorb
Papierkorb teilweise leeren (erzeugt $I/$R bzw. gelöschte Reste)

Findbar: gelöschte Dateien (Carving), Recycle Bin, ADS, Extension-Mismatch.

USB-Artefakte

USB-Stick virtuell durchreichen und Datei drauf kopieren
  • in VirtualBox/Proxmox USB-Device an die VM binden
  • projekt_export auf den Stick kopieren, Stick "abziehen"

Findbar: USBSTOR-Registry, setupapi.dev.log, MountedDevices, ShellBags.

Kommunikation / Credentials (optional, Hollywood-Würze)

Verräterischen Text ablegen
  • Mailentwurf oder notiz.txt: "Stick ist abholbereit, Treffpunkt 2X Uhr"
Passwortdatei "vergessen"
  • passwoerter.txt im Profil

Steganografie (CTF-Element, optional)

Flag in einem Bild verstecken (auf einer Linux-Box vorbereiten)
steghide embed -cf urlaub.jpg -ef flag.txt -p 2Xgeheim2X
  • Bild danach auf das Target legen

Anti-Forensik (Fortgeschrittene)

Macht das Lab realistischer und liefert eigene Lernziele (Manipulation erkennen). Bewusst dosieren.

Zeitstempel manipulieren (Timestomping)
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg
$f.LastWriteTime  = "2020-01-01 02:00:00"
$f.CreationTime   = "2020-01-01 02:00:00"
$f.LastAccessTime = "2020-01-01 02:00:00"
Eventlog leeren (hinterlässt selbst eine Spur
Event 1102)
wevtutil cl Security

Hinweis: Anti-Forensik nur, wenn die Auswertung das auch thematisiert – sonst frustriert es ohne Lernziel.

Settling & Imaging

Artefakte setzen lassen (Registry-Flush, Prefetch)
  • System normal weiternutzen, 1–2x sauber neu starten
Sauber herunterfahren (KEIN Imaging im laufenden Betrieb)
  • konsistentes Dateisystem ist Pflicht
Acquiring (Detail siehe Autopsy)
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
ewfacquire tiny11.raw          # optional → E01 mit Hash + Metadaten
Hash vor Verteilung ziehen (Integrität / Chain of Custody)
sha256sum tiny11.E01

Lösungsschlüssel

Für DICH als Dozent – nicht an Teilnehmer ausgeben. Tabelle pflegen, sonst ist das Lab nicht bewertbar.

Nr Artefakt Fundort Autopsy-Modul
1 Download Pack-Tool Edge/Firefox History Web Artifacts
2 Tool-Ausführung Prefetch / UserAssist Recent Activity
3 Exfil-Archiv (getarnt) Desktop, Extension-Mismatch File Type / Hash
4 ADS hidden.txt notiz.txt:hidden.txt File System
5 Gelöschtes Dokument Recycle Bin / unallocated Deleted Files
6 USB-Insertion USBSTOR, setupapi.dev.log Recent Activity
7 Timestomping urlaubsfotos.jpg (MAC inkonsistent) Timeline
8 Eventlog-Löschung Security Event 1102 Keyword / Logs
9 Steg-Flag urlaub.jpg (manuell, steghide)

Aufgaben

Stub – noch zu bauen (analog theHarvester/nmap-Aufgaben)
Geführte Discovery: Teilnehmer rekonstruieren die Story chronologisch
über die Timeline und belegen jeden Schritt mit dem passenden Artefakt.
Abgerufen von „http://xinux.net/index.php?title=Autopsy_Aufgabe&oldid=71317