Änderungsverhalten von Zeitstempeln und deren Manipulation unter NTFS

Bachelor-Studiengang IT Security

Stefan Rödl

Betreuer: Dipl.-Ing. Dr. Robert Luh, BSc

Ausgangslage

Neben der Verhinderung von Cyberangriffen stellt die nachträgliche, IT-forensische Untersuchung von Vorfällen einen immer wichtiger werdenden Aspekt der IT-Security dar. Angreifer hinterlassen bei ihren Aktivitäten Spuren, die oft in der Form von Metadaten vorliegen: Besonders Zeitstempel, die sich im Zuge von Dateioperationen verändern, sind für forensische Untersuchungen interessant. Gleichzeitig kann die Manipulation von Zeitstempeln das Erkennen von Angriffen massiv erschweren. Die Gefahr, welche von einer solchen Verschleierung ausgeht, wird in dieser Arbeit untersucht und experimentell belegt.

Ziel

Ziel der Arbeit ist die Untersuchung von Zeitstempel-Veränderungen durch verschiedene Dateioperationen unter Windows 10. Dies impliziert als Untersuchungsgegenstand das Dateisystem NTFS und dessen Mechaniken zur Speicherung von Metadaten. Ebenfalls sollen Tests durchgeführt werden, mit denen festgestellt werden kann, ob Zeitstempelmanipulationen möglich sind, ohne Spuren in den NTFS-Metadaten zu hinterlassen. Zugleich soll aufgezeigt werden, ob das Standardverhalten des Dateisystems beim Setzen von Zeitstempeln von älteren, in der Literatur behandelten Versionen abweicht.

Eine der größten Schwierigkeiten zeigt sich bei der Implementierung eines zuverlässigen Interpreters für die verschiedenen Datenpakete, da die allgemein verfügbaren Dokumentationen stark fragmentiert und teilweise veraltet sind. Gleichzeitig muss dieser Interpreter in der Lage sein mit dekomprimierten Datenmengen von rund zehn Gigabyte pro Minute umzugehen.

Ergebnis

Aus der erstellten Übersicht konnten zahlreiche Verhaltensänderungen abgelesen werden, die bei zukünftigen Untersuchungen berücksichtigt werden sollten. Zusätzlich wurden verschiedene Angriffsszenarios mit unterschiedlichen Tools getestet, um aufzuzeigen, wie Zeitstempelmanipulation praktisch durchgeführt werden kann. Außerdem wurden die Auswirkungen solcher Manipulationen auf die Metadaten des Dateisystems im Hinblick auf Aufdeckung von Verschleierungsversuchen untersucht. Abhängig vom verwendeten Werkzeug konnten Manipulationen unterschiedlicher Tiefe erreicht werden. Diese reichten von oberflächlichen Manipulationen bis hin zu Änderungen, die mit den verwendeten Analysewerkzeugen nicht aufgedeckt werden konnten.