| die letzten Änderungen * Seitenstruktur * Stichwortsuche :


logo_puschin.jpg

Startseite

Knowledge base



Kontakt

Impressum

Knowledge base - Forensik

Knowledge base

8 Benutzer online Druckversion




zurück



Forensik
Ransomware-Infektion nachvollziehen, TeslaCrypt, Locky & Co.

1. Schritt: MFT extrahieren (bei physischen Laufwerken)

Gut geeignet ist der FTK-Imager. Dieser kann die MFT aus einem laufenden System oder auch einem Image extrahieren.

Download unter:
http://accessdata.com/product-download/digital-forensics/ftk-imager-lite-version-3.1.1

Danach starten und folgendes auswählen:

ftk-1.png

ftk-2.png

Physical-Drive kommt dann zum Tragen wenn aus einem lokalen Laufwerk oder einer angeschlossenen Festplatte die MFT extrahiert werden soll.

Image-File ist dann gegeben, wenn es sich um ein dd-Image oder ein E01-Image handelt. Allerdings werden Images auch direkt von der Software mft2csv unterstützt, so dass dieser Schritt mit FTK dann entfallen kann.

Wir wählen also "Physical-Drive" und bei der Auswahl der Laufwerke das Richtige.

Das Laufwerk erscheint dann links mit den Partitionen. Die MFT befindet sich auf der Windows-Partition im Root-Verzeichnis und kann von dort extrahiert werden:

ftk-3.png

ftk-4.png

Danach ist die Aufgabe vom FTK-Imager schon erledigt.

2. Schritt MFT in eine CSV umwandeln

Dazu verwenden wir die Software "mft2csv":
https://github.com/jschicht/Mft2Csv

Einfach starten und die extrahierte MFT wählen (Choose MFT) oder das Image (Choose Image) auswählen. Der Rest kann einfach bei der Default-Einstellung belassen werden. Danach die schaltfläche "Start Processing" betätigen:

mft-1.png

Wenn der Durchlauf beendet ist, haben wir eine CSV-Datei, die wir mit Excel oder Libre-Calc öffnen können und eine SQL-Datei, die in eine Datenbank geschrieben werden kann.

3. Import in eine Datenbank
Für den Import in eine Datenbank laden wir MySQL runter (Achtung: 64bit-Version!)

http://dev.mysql.com/downloads/

(Community-Server auswwählen)

Ich habe mir zur Vereinfachung den Pfad zu den MySQL-Binaries in die Umgebungsvariable "Path" hinterlegt. Bei mir war es:
C:\Program Files\MySQL\MySQL Server 5.7\bin

Danach kann das Datenbank-Schema angelegt werden:
mysql -uroot -p[PASSWORT] < Mft2Csv.sql



Eventuell sind Anpassungen am Schema durchzuführen:
- Bei 32bit MySQL-Versionen sind die DateTime-Felder kürzer (4) anstelle von (6)
- Das Feld "Signature" muss eventuell länger angelegt werden VARCHAR(32) anstelle von VARCHAR(4)

Eventuell muss noch eine Sicherheitseinstellung in der my.ini angepasst werden:

C:\ProgramData\MySQL\MySQL Server 5.7\my.ini
#secure-file-priv="C:/ProgramData/MySQL/MySQL Server 5.7/Uploads"


Und der Import kann durchgeführt werden:
mysql -uroot -p1234 ntfs < MftDump_2016-02-25_13-50-54.sql



mysql> select count(*) from mft2csv;
+----------+
| count(*) |
+----------+
|   400385 |
+----------+
1 row in set (2.41 sec)

mysql>
{{{

4. Auswertung der Inhalte
Jetzt können die interessanten Bereiche extrahiert werden:

Beispiel für einen MySQL-Befehl in Zusammenhang mit der Datenbank:
{{{mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FilePath from mft2csv WHERE FN_CTime > '2016-02-25 12:02' ORDER BY FN_CTime limit 0,100;"


Suche nach einem bestimmten Dateinamen nach einem bestimmten Datum:
mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FilePath from mft2csv WHERE FN_CTime > '2016-02-25 12:02' AND FilePath like '%DECRYPT%' ORDER BY FN_CTime"


Umlenken in eine Datei:
mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FN_ATime,FN_MTime,FilePath from mft2csv WHERE FN_CTime > '2016-02-25 12:02' AND FilePath like '%DECRYPT%' ORDER BY FN_CTime" > export1.csv


Zunächst kann man den Zeitpunkt der Infektion näher eingrenzen, d.h. wann die Schadsoftware begonnen hat mit der Verschlüsselung:
mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FilePath from mft2csv WHERE FilePath like '%DECRYPT%' ORDER BY FN_CTime" > export1.csv

mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FilePath from mft2csv WHERE FilePath like '%RECOVER_INSTRUCTIONS%' ORDER BY FN_CTime ASC limit 0,50;" > export2.csv


Jetzt kann nach dem interessanten Zeitraum selektiert werden, um an den entsprechenden Download zu gelangen:

mysql -s -uroot -p1234 ntfs -e "select FN_CTime,FN_MTime,FN_ATime,FilePath from mft2csv WHERE FN_CTime > '2016-02-11 03:14:00' AND FN_Ctime < '2016-02-11 12:00:00' ORDER BY FN_CTime" > export3.csv


Das Ergebnis lässt sich dann leicht mit MS-Office oder Libre-Office öffnen und weiter auswerten.

Dagegen lässt sich dann leicht mit dem Programm "BrowsingHistoryView" die Internet-Chronik abgleichen:
http://www.nirsoft.net/utils/browsing_history_view.html

zurück



Knowledge base wurde zuletzt bearbeitet am 12.07.13 durch Frank

www.puschin.de
login

<body bgcolor='#FFFFFF' link='#000000' vlink='#000000' alink='#000000' text='#000000'><font face='Verdana' size='2'><strong>www.puschin.de</strong><br>Die Webseite http://www.puschin.de bietet eine interessante Webseite zu vielen Themen aus dem Bereich Linux und Windows. Man findet hier Tipps und Tricks zu cms php apache postfix openxchange tomcat windows linux firewall <br><br><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=191'>Startseite</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=63'>Knowledge base</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=57'>Kontakt</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=9'>Impressum</a></body>