Live Forensics – Vorgehensweise bei der Untersuchung des RAMs von unbekannten Applikationen

Bachelor Studiengang IT Security

Patrick Kochberger, BSc
18.09.2015

Ausgangslage

Aufgrund des vermehrten Einsatzes von Verschlüsselung, der zunehmenden Verwendung von Cloud-Ressourcen, dem Aufkommen von Malware, die nur im Arbeitsspeicher liegt und anderen flüchtigen Daten, die verloren gehen, wenn ein Gerät abgeschaltet wird, gewinnt Live Forensik beziehungsweise Hauptspeicher-Forensik in der Welt der digitalen forensischer Untersuchungen immer mehr an Bedeutung.

Analyst/innen und Forscher/innen forschen stetig nach neuen Wegen, um Informationen, die Programme im RAM hinterlassen, zu extrahieren und bei einer Untersuchung an zusätzliche, relevante Daten zu gelangen.

Es wurden in der Vergangenheit bereits einige Applikationen auf hinterlassene Spuren im Arbeitsspeicher untersucht, wobei jedoch keine Passwort-Manager betrachtet wurden. Diese können je nach Funktionalität neben Passwörtern, die Zugang zu weiteren Beweismitteln schaffen, auch wertvolle Notizen und andere Informationen beinhalten.

Ziel

Diese Arbeit zeigt, wie eine forensische Untersuchung aufgebaut ist, wie sich die Einbeziehung von Live Forensik-Aktivitäten auf forensische Untersuchen auswirkt und welche aktuelle Analysemethoden der Hauptspeicherforensik sich für die Untersuchung von Windows Applikationen eignen. Anhand von zwei Passwort-Managern wird aufgezeigt, dass Master-Passwörter in einem Speicherabbild gefunden werden können.

Ergebnis

Die in dieser Arbeit vorgeschlagenen Methoden ermöglichen es, den Inhalt des Hauptspeichers zu beschaffen und in die forensische Untersuchung miteinzubeziehen.

Außerdem wurde gezeigt, dass verschiedene Passwort-Speicher unterschiedlich vorsichtig mit dem Hauptpasswort umgehen. Daraus ist ersichtlich, dass durch die Untersuchung des Arbeitsspeichers wertvolle Informationen gesammelt werden können, die andernfalls verloren gegangen wären.

Ausblick

Da immer mehr Webservices mit Nutzer-Authentifizierung angeboten werden, wird auch die Zahl der Passwörter, die eine Benutzerin/ein Benutzer benötigt, weiter steigen. Eine Lösung für dieses Problem bieten Passwort-Manager. Live Forensik bietet enormes Potential, Zugriff auf Informationen wie etwa das Master-Passwort, welches Zugriff auf alle weiteren gespeicherten Passwörter gibt, zu erlangen.

In dieser Arbeit wurden zwei Passwort-Manager auf Spuren im Hauptspeicher untersucht. Zukünftige Arbeiten in diesem Bereich wären die Untersuchung weiterer Applikationen, welche Passwörter verwalten (wie beispielsweise LastPass, 1Password oder RoboForm) sowie die Suche nach noch nicht entdeckten Mustern, um die Position des Masterpassworts im Speicher besser einschränken zu können.

FH-Betreuer: FH-Prof. Mag. Dr. Simon Tjoa