Autopsy Aufgabe: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „= Forensik-Szenario präparieren (Disk Salting) = Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target (hier: Tiny11), damit Teilnehmer da…“)
 
 
Zeile 1: Zeile 1:
= Forensik-Szenario präparieren (Disk Salting) =
+
= Forensik-Lab präparieren: Insider-Exfiltration =
  
Anleitung zum gezielten Pflanzen von Artefakten auf einem Windows-Target
+
Lineare Anleitung. Von oben nach unten abarbeiten, feste Pfade, feste
(hier: Tiny11), damit Teilnehmer das Image anschließend in
+
Befehle. Ergebnis: ein gesalzenes Windows-Image (Tiny11), das in
[[Autopsy]] forensisch zerlegen und die Spuren rekonstruieren.
+
[[Autopsy]] zerlegt wird. Story und Funde stehen im
 +
[[#Lösungsschlüssel|Lösungsschlüssel]] (nur für Dozent).
  
Prinzip: nicht wahllos Dateien ablegen, sondern eine '''kohärente Story'''
+
;Story
inszenieren. Jeder Fund muss in die Erzählung passen, sonst entsteht kein
+
:Mitarbeiter ''Christine Mueller'' (Konto ''cmueller'') exfiltriert vor
Ermittlungs-Narrativ. Am Ende steht ein [[#Lösungsschlüssel|Lösungsschlüssel]],
+
:der Kündigung Firmendokumente auf einen USB-Stick und verwischt Spuren.
ohne den das Lab nicht bewertbar ist.
 
  
== Szenario-Konzept ==
+
== 0. Vorbereitung ==
  
;Beispiel-Story (Insider-Exfiltration)
+
*VM herunterfahren, Snapshot ''sauber'' anlegen (Rückfallpunkt)
:Mitarbeiter ''C. Mueller'' will vor der Kündigung Firmendaten mitnehmen.
+
*Booten, als Admin anmelden
:Er recherchiert eine Tauschplattform, lädt ein Pack-Tool, archiviert
 
:interne Dokumente, kopiert sie auf einen USB-Stick, löscht die Spuren
 
:und manipuliert Zeitstempel.
 
  
Daraus ergeben sich automatisch die zu pflanzenden Artefakt-Klassen
+
;Benutzerkonto anlegen
(Browser, Execution, Dateisystem, USB, Anti-Forensik). Wer die Story
+
<pre>
zuerst schreibt, säet konsistent.
+
net user cmueller Passwort123! /add
 +
</pre>
 +
;Firmendaten anlegen (das spätere Diebesgut)
 +
<pre>
 +
mkdir C:\Daten
 +
echo Quartalszahlen Q3 - VERTRAULICH > C:\Daten\finanzen_q3.docx
 +
echo Kundenliste Gesamt 2XXX        > C:\Daten\kundenliste.docx
 +
echo Gehaltsuebersicht Abteilung IT > C:\Daten\gehaelter.docx
 +
</pre>
 +
*Abmelden, '''als cmueller anmelden'''. Ab hier ALLES als cmueller.
  
;Alternativ
+
== 1. Browser: Recherche + Download ==
:Malware-Infektion (Download → Ausführung → Persistenz → C2) – verzahnt
 
:sich gut mit der [[VulnSite]]-Angriffskette: das präparierte Image ist
 
:das Opfer-System, die Teilnehmer finden ihren eigenen Angriff wieder.
 
  
== Vorbereitung ==
+
Edge öffnen, der Reihe nach in die Adressleiste tippen (typed URLs!),
 +
nicht über Lesezeichen:
  
;Saubere Ausgangslage sichern (Rückfallpunkt)
+
*google.com → suchen: ''dateien anonym hochladen teilen''
*VM herunterfahren, Snapshot anlegen
+
*ein Filehoster-Ergebnis anklicken
;Realistisches Benutzerprofil anlegen (nicht der Default-Admin)
+
*danach: ''7-zip.org'' aufrufen, 7-Zip-Installer herunterladen
*Konto ''cmueller'' anlegen, einloggen, kurz "leben" lassen
 
  
Alle folgenden Schritte als ''cmueller'' interaktiv ausführen –
+
== 2. Tool installieren + ausführen ==
nur dann entstehen die userbezogenen Registry- und Prefetch-Spuren.
 
 
 
== Artefakte säen ==
 
 
 
=== Browser-Aktivität ===
 
 
 
;Recherche + Download inszenieren (Edge/Firefox normal bedienen)
 
*Tauschplattform googeln, ein paar typed URLs erzeugen
 
*Pack-Tool (z.B. 7-Zip) "verdächtig" herunterladen
 
*ggf. Lesezeichen setzen
 
 
 
Findbar später: History, Downloads, typed URLs, Cache.
 
 
 
=== Execution-Artefakte ===
 
 
 
;Programme mehrfach starten (erzeugt Prefetch + UserAssist)
 
*heruntergeladenes Tool 2–3x per Doppelklick ausführen
 
;Win+R-Befehle absetzen (RunMRU)
 
<pre>
 
powershell
 
cmd
 
\\2XX.2XX.2XX.2XX\share
 
</pre>
 
;Dokumente öffnen (RecentDocs, JumpLists, LNK)
 
*ein paar .docx/.pdf öffnen
 
  
Findbar: Prefetch, UserAssist, ShimCache/AmCache, RecentDocs, LNK.
+
;7-Zip installieren (Doppelklick auf Download)
 +
;7-Zip 2x über Startmenü öffnen (erzeugt Prefetch + UserAssist)
  
=== Dateisystem & Exfil ===
+
== 3. Daten archivieren + tarnen ==
  
;Interne Dokumente archivieren (das "Diebesgut")
+
;Dokumente in ein Archiv packen
 
<pre>
 
<pre>
 
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
 
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
 
</pre>
 
</pre>
;Datei mit irreführender Endung tarnen
+
;Archiv als harmloses Bild tarnen (Extension-Mismatch)
*projekt_export.7z → urlaubsfotos.jpg umbenennen
 
;Alternate Data Stream verstecken (klassischer Finde-Trick)
 
 
<pre>
 
<pre>
cmd /c "echo PASSWORT: 2Xstreng-geheimX2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"
+
ren C:\Users\cmueller\Desktop\projekt_export.7z urlaubsfotos.jpg
 
</pre>
 
</pre>
;Datei löschen → später recovern
 
*ein belastendes Dokument erstellen, dann in den Papierkorb
 
;Papierkorb teilweise leeren (erzeugt $I/$R bzw. gelöschte Reste)
 
  
Findbar: gelöschte Dateien (Carving), Recycle Bin, ADS, Extension-Mismatch.
+
== 4. USB-Exfiltration ==
  
=== USB-Artefakte ===
+
*USB-Stick an die VM durchreichen (VirtualBox: ''Geräte → USB'';
 +
:Proxmox: USB-Device an VM binden)
 +
;Diebesgut auf den Stick kopieren (Laufwerk hier E:)
 +
<pre>
 +
copy C:\Users\cmueller\Desktop\urlaubsfotos.jpg E:\
 +
</pre>
 +
*Stick wieder abziehen (USB-Device entfernen)
  
;USB-Stick virtuell durchreichen und Datei drauf kopieren
+
== 5. Verräterische Notiz + ADS ==
*in VirtualBox/Proxmox USB-Device an die VM binden
 
*projekt_export auf den Stick kopieren, Stick "abziehen"
 
  
Findbar: USBSTOR-Registry, setupapi.dev.log, MountedDevices, ShellBags.
+
;Notiz mit verstecktem Stream (klassischer Finde-Trick)
 +
<pre>
 +
echo Stick abholbereit Treffpunkt 2X Uhr > C:\Users\cmueller\Desktop\notiz.txt
 +
cmd /c "echo USB-PIN 2X-geheim-X2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"
 +
</pre>
  
=== Kommunikation / Credentials (optional, Hollywood-Würze) ===
+
== 6. Spur löschen ==
  
;Verräterischen Text ablegen
+
;Belastende Datei erstellen, dann löschen (später recovern)
*Mailentwurf oder notiz.txt: "Stick ist abholbereit, Treffpunkt 2X Uhr"
 
;Passwortdatei "vergessen"
 
*passwoerter.txt im Profil
 
 
 
=== Steganografie (CTF-Element, optional) ===
 
 
 
;Flag in einem Bild verstecken (auf einer Linux-Box vorbereiten)
 
 
<pre>
 
<pre>
steghide embed -cf urlaub.jpg -ef flag.txt -p 2Xgeheim2X
+
echo Racheplan: Daten kopiert, Stick abgegeben, Kuendigung naechste Woche > C:\Users\cmueller\Desktop\plan.txt
 +
del C:\Users\cmueller\Desktop\plan.txt
 
</pre>
 
</pre>
*Bild danach auf das Target legen
+
*Quelldaten "aufräumen": Ordner C:\Daten in den Papierkorb (über Explorer)
  
== Anti-Forensik (Fortgeschrittene) ==
+
== 7. Anti-Forensik ==
  
Macht das Lab realistischer und liefert eigene Lernziele (Manipulation
+
;Zeitstempel der getarnten Datei fälschen (PowerShell)
erkennen). Bewusst dosieren.
 
 
 
;Zeitstempel manipulieren (Timestomping)
 
 
<pre>
 
<pre>
 
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg
 
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg
 +
$f.CreationTime  = "2020-01-01 02:00:00"
 
$f.LastWriteTime  = "2020-01-01 02:00:00"
 
$f.LastWriteTime  = "2020-01-01 02:00:00"
$f.CreationTime  = "2020-01-01 02:00:00"
 
 
$f.LastAccessTime = "2020-01-01 02:00:00"
 
$f.LastAccessTime = "2020-01-01 02:00:00"
 
</pre>
 
</pre>
;Eventlog leeren (hinterlässt selbst eine Spur: Event 1102)
+
;Security-Eventlog leeren (erzeugt selbst Event 1102)
 
<pre>
 
<pre>
 
wevtutil cl Security
 
wevtutil cl Security
 
</pre>
 
</pre>
  
Hinweis: Anti-Forensik nur, wenn die Auswertung das auch thematisiert –
+
== 8. Abschluss + Imaging ==
sonst frustriert es ohne Lernziel.
 
 
 
== Settling & Imaging ==
 
  
;Artefakte setzen lassen (Registry-Flush, Prefetch)
+
*Abmelden, als Admin anmelden
*System normal weiternutzen, 1–2x sauber neu starten
+
*1x sauber neu starten (Registry-Flush, Prefetch setzt sich)
;Sauber herunterfahren (KEIN Imaging im laufenden Betrieb)
+
*'''Sauber herunterfahren''' – kein Imaging im Betrieb
*konsistentes Dateisystem ist Pflicht
+
;Disk zu raw konvertieren (Detail [[Autopsy]])
;Acquiring (Detail siehe [[Autopsy]])
 
 
<pre>
 
<pre>
 
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
 
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
ewfacquire tiny11.raw          # optional → E01 mit Hash + Metadaten
 
 
</pre>
 
</pre>
;Hash vor Verteilung ziehen (Integrität / Chain of Custody)
+
;Optional E01 + Hash (Chain of Custody)
 
<pre>
 
<pre>
 +
ewfacquire tiny11.raw
 
sha256sum tiny11.E01
 
sha256sum tiny11.E01
 
</pre>
 
</pre>
Zeile 142: Zeile 111:
 
== Lösungsschlüssel ==
 
== Lösungsschlüssel ==
  
Für DICH als Dozent – nicht an Teilnehmer ausgeben. Tabelle pflegen,
+
Nicht an Teilnehmer ausgeben.
sonst ist das Lab nicht bewertbar.
 
  
 
{| class="wikitable"
 
{| class="wikitable"
! Nr !! Artefakt !! Fundort !! Autopsy-Modul
+
! # !! Artefakt !! Fundort !! Autopsy
 
|-
 
|-
| 1 || Download Pack-Tool || Edge/Firefox History || Web Artifacts
+
| 1 || Suche + Download 7-Zip || Edge History/Downloads, typed URLs || Web Artifacts
 
|-
 
|-
| 2 || Tool-Ausführung || Prefetch / UserAssist || Recent Activity
+
| 2 || 7-Zip ausgeführt || Prefetch, UserAssist || Recent Activity
 
|-
 
|-
| 3 || Exfil-Archiv (getarnt) || Desktop, Extension-Mismatch || File Type / Hash
+
| 3 || Exfil-Archiv getarnt || Desktop urlaubsfotos.jpg (7z-Signatur!) || File Type Mismatch
 
|-
 
|-
| 4 || ADS hidden.txt || notiz.txt:hidden.txt || File System
+
| 4 || Versteckte PIN || notiz.txt:hidden.txt || File System (ADS)
 
|-
 
|-
| 5 || Gelöschtes Dokument || Recycle Bin / unallocated || Deleted Files
+
| 5 || USB-Insertion + Copy || USBSTOR, setupapi.dev.log, LNK || Recent Activity
 
|-
 
|-
| 6 || USB-Insertion || USBSTOR, setupapi.dev.log || Recent Activity
+
| 6 || Gelöschter Racheplan || plan.txt (unallocated) || Deleted Files
 
|-
 
|-
| 7 || Timestomping || urlaubsfotos.jpg (MAC inkonsistent) || Timeline
+
| 7 || Gelöschte Firmendaten || Recycle Bin $I/$R || Deleted Files
 
|-
 
|-
| 8 || Eventlog-Löschung || Security Event 1102 || Keyword / Logs
+
| 8 || Timestomping || urlaubsfotos.jpg (MAC = 2020, inkonsistent) || Timeline
 
|-
 
|-
| 9 || Steg-Flag || urlaub.jpg || (manuell, steghide)
+
| 9 || Eventlog-Löschung || Security Event 1102 || Keyword Search
 
|}
 
|}
  
== Aufgaben ==
+
== Aufgabe ==
  
;Stub – noch zu bauen (analog [[theHarvester]]/[[nmap]]-Aufgaben)
+
;Teilnehmer rekonstruieren über die Timeline die Tat und belegen jeden
:Geführte Discovery: Teilnehmer rekonstruieren die Story chronologisch
+
:Schritt der Story mit dem passenden Artefakt (Nr. 1–9).
:über die Timeline und belegen jeden Schritt mit dem passenden Artefakt.
 
  
 
[[Kategorie:Forensik]]
 
[[Kategorie:Forensik]]
 
[[Kategorie:Cybersec-2]]
 
[[Kategorie:Cybersec-2]]
 
[[Kategorie:Autopsy]]
 
[[Kategorie:Autopsy]]

Aktuelle Version vom 23. Juni 2026, 09:25 Uhr

Forensik-Lab präparieren: Insider-Exfiltration

Lineare Anleitung. Von oben nach unten abarbeiten, feste Pfade, feste Befehle. Ergebnis: ein gesalzenes Windows-Image (Tiny11), das in Autopsy zerlegt wird. Story und Funde stehen im Lösungsschlüssel (nur für Dozent).

Story
Mitarbeiter Christine Mueller (Konto cmueller) exfiltriert vor
der Kündigung Firmendokumente auf einen USB-Stick und verwischt Spuren.

0. Vorbereitung

  • VM herunterfahren, Snapshot sauber anlegen (Rückfallpunkt)
  • Booten, als Admin anmelden
Benutzerkonto anlegen
net user cmueller Passwort123! /add
Firmendaten anlegen (das spätere Diebesgut)
mkdir C:\Daten
echo Quartalszahlen Q3 - VERTRAULICH > C:\Daten\finanzen_q3.docx
echo Kundenliste Gesamt 2XXX        > C:\Daten\kundenliste.docx
echo Gehaltsuebersicht Abteilung IT > C:\Daten\gehaelter.docx
  • Abmelden, als cmueller anmelden. Ab hier ALLES als cmueller.

1. Browser: Recherche + Download

Edge öffnen, der Reihe nach in die Adressleiste tippen (typed URLs!), nicht über Lesezeichen:

  • google.com → suchen: dateien anonym hochladen teilen
  • ein Filehoster-Ergebnis anklicken
  • danach: 7-zip.org aufrufen, 7-Zip-Installer herunterladen

2. Tool installieren + ausführen

7-Zip installieren (Doppelklick auf Download)
7-Zip 2x über Startmenü öffnen (erzeugt Prefetch + UserAssist)

3. Daten archivieren + tarnen

Dokumente in ein Archiv packen
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
Archiv als harmloses Bild tarnen (Extension-Mismatch)
ren C:\Users\cmueller\Desktop\projekt_export.7z urlaubsfotos.jpg

4. USB-Exfiltration

  • USB-Stick an die VM durchreichen (VirtualBox: Geräte → USB;
Proxmox: USB-Device an VM binden)
Diebesgut auf den Stick kopieren (Laufwerk hier E
)
copy C:\Users\cmueller\Desktop\urlaubsfotos.jpg E:\
  • Stick wieder abziehen (USB-Device entfernen)

5. Verräterische Notiz + ADS

Notiz mit verstecktem Stream (klassischer Finde-Trick)
echo Stick abholbereit Treffpunkt 2X Uhr > C:\Users\cmueller\Desktop\notiz.txt
cmd /c "echo USB-PIN 2X-geheim-X2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"

6. Spur löschen

Belastende Datei erstellen, dann löschen (später recovern)
echo Racheplan: Daten kopiert, Stick abgegeben, Kuendigung naechste Woche > C:\Users\cmueller\Desktop\plan.txt
del C:\Users\cmueller\Desktop\plan.txt
  • Quelldaten "aufräumen": Ordner C:\Daten in den Papierkorb (über Explorer)

7. Anti-Forensik

Zeitstempel der getarnten Datei fälschen (PowerShell)
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg
$f.CreationTime   = "2020-01-01 02:00:00"
$f.LastWriteTime  = "2020-01-01 02:00:00"
$f.LastAccessTime = "2020-01-01 02:00:00"
Security-Eventlog leeren (erzeugt selbst Event 1102)
wevtutil cl Security

8. Abschluss + Imaging

  • Abmelden, als Admin anmelden
  • 1x sauber neu starten (Registry-Flush, Prefetch setzt sich)
  • Sauber herunterfahren – kein Imaging im Betrieb
Disk zu raw konvertieren (Detail Autopsy)
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
Optional E01 + Hash (Chain of Custody)
ewfacquire tiny11.raw
sha256sum tiny11.E01

Lösungsschlüssel

Nicht an Teilnehmer ausgeben.

# Artefakt Fundort Autopsy
1 Suche + Download 7-Zip Edge History/Downloads, typed URLs Web Artifacts
2 7-Zip ausgeführt Prefetch, UserAssist Recent Activity
3 Exfil-Archiv getarnt Desktop urlaubsfotos.jpg (7z-Signatur!) File Type Mismatch
4 Versteckte PIN notiz.txt:hidden.txt File System (ADS)
5 USB-Insertion + Copy USBSTOR, setupapi.dev.log, LNK Recent Activity
6 Gelöschter Racheplan plan.txt (unallocated) Deleted Files
7 Gelöschte Firmendaten Recycle Bin $I/$R Deleted Files
8 Timestomping urlaubsfotos.jpg (MAC = 2020, inkonsistent) Timeline
9 Eventlog-Löschung Security Event 1102 Keyword Search

Aufgabe

Teilnehmer rekonstruieren über die Timeline die Tat und belegen jeden
Schritt der Story mit dem passenden Artefakt (Nr. 1–9).
Abgerufen von „http://xinux.net/index.php?title=Autopsy_Aufgabe&oldid=71318