Netzwerkforensik mit Network Miner | TryHackMe SOC Level 1

Wir haben das Konzept der Netzwerkforensik und die Anwendungsfälle behandelt, darunter Netzwerkerkennung, Netzwerkfehlerbehebung, Paketanalyse und -rekonstruktion, Reaktion auf Vorfälle und Bedrohungssuche. Wir haben gezeigt, wie man Network Miner verwendet, ein beliebtes Tool in diesem Bereich, um Live-Verkehr zu erfassen und aufgezeichneten Verkehr zu analysieren, um Erkenntnisse über die Hosts, Ports, ausgetauschten Dateien und Bilder, DNS-Abfragen, Netzwerkanomalien usw. zu gewinnen. Dies war Teil von TryHackMe Network Miner | SOC-Track der Stufe 1.

Notizen zur Computerforensik abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Beschreibung der Herausforderung

Erfahren Sie, wie Sie mit NetworkMiner aufgezeichnete Verkehrsdateien analysieren und Netzwerkforensik-Aktivitäten durchführen.

Video-Highlights

Netzwerkforensik ist ein spezieller Unterbereich der Forensik und konzentriert sich auf die Untersuchung des Netzwerkverkehrs. Die Disziplin der Netzwerkforensik umfasst die Arbeit, die geleistet wird, um auf übertragene Informationen zuzugreifen, indem Live- und aufgezeichneter Verkehr abgehört und untersucht wird, Beweise/Artefakte gesammelt und potenzielle Probleme verstanden werden.

Kurz gesagt handelt es sich dabei um die Aufzeichnung von Paketen des Netzwerkverkehrs, die Erstellung untersuchbarer Quellen und die Erstellung einer Ursachenanalyse eines Ereignisses. Das ultimative Ziel besteht darin, ausreichend Informationen bereitzustellen, um böswillige Aktivitäten, Sicherheitsverletzungen, die Einhaltung von Richtlinien/Vorschriften, die Systemintegrität und das Benutzerverhalten zu erkennen.

Der Untersuchungsprozess identifiziert kommunizierte Hosts hinsichtlich Zeit, Häufigkeit, Protokoll, Anwendung und Daten.

Die Untersuchung versucht, die 5 W;

• Wer (Quell-IP und Port)
• Was (Daten/Nutzlast)
• Wo (Ziel-IP und -Port)
• Wann (Uhrzeit und Datum)
• Warum (Wie/Was ist passiert)

Beachten Sie, dass Der Prozess der Erfassung und Untersuchung von Netzwerkbeweisen sollte systematisch erfolgen. Für eine erfolgreiche forensische Netzwerkuntersuchung ist es entscheidend, über genügend Daten und die richtige Zeiterfassung zu verfügen.

Anwendungsfälle für die Netzwerkforensik

Die häufigsten Anwendungsfälle der Netzwerkforensik werden unten erläutert.

• Netzwerkerkennung: Entdecken Sie das Netzwerk, um einen Überblick über verbundene Geräte, Rogue-Hosts und die Netzwerklast zu erhalten.
• Pakete neu zusammensetzen: Neuzusammenstellung der Pakete zur Untersuchung des Datenverkehrsflusses. Dieser Anwendungsfall ist bei unverschlüsselten Datenströmen hilfreich.
• Erkennung von Datenlecks: Durch die Überprüfung der Paketübertragungsraten für jeden Host und jede Zieladresse können mögliche Datenlecks erkannt werden.
• Erkennung von Anomalien und bösartigen Aktivitäten: Die Überprüfung der gesamten Netzwerklast mit Fokus auf verwendete Ports, Quell- und Zieladressen und Daten hilft dabei, mögliche bösartige Aktivitäten sowie Schwachstellen zu erkennen. Dieser Anwendungsfall deckt auch die Korrelation von Indikatoren und Hypothesen ab.
• Kontrolle der Einhaltung von Richtlinien/Vorschriften: Durch die Überprüfung des allgemeinen Netzwerkverhaltens lässt sich die Einhaltung von Richtlinien/Vorschriften leichter erkennen.

Vorteile der Netzwerkforensik 

Die allgemeinen Vorteile der Netzwerkforensik werden im Folgenden erläutert;

• Verfügbarkeit netzwerkbasierter Beweise in der Praxis: Das Erfassen des Netzwerkverkehrs dient der Beweissammlung und ist daher einfacher als andere Arten der Beweissammlung, etwa Protokolle und IOCs.

• Einfache Daten-/Beweiserfassung ohne Lärm zu verursachen: Das Erfassen und Bearbeiten des Netzwerkverkehrs ist einfacher als die Untersuchung ungefilterter Ereignisse durch EDRs, EPPs und Protokollsysteme. Normalerweise erzeugt das Sniffing nicht viel Lärm, Protokolle und Warnungen. Außerdem ist der Netzwerkverkehr nicht so zerstörbar wie Protokolle und Warnungen, die von Sicherheitssystemen generiert werden.

• Es ist schwierig, die Netzwerkbeweise zu zerstören, da es sich um die übertragenen Daten handelt: Da der Beweis der Verkehr selbst ist, ist es unmöglich, etwas zu unternehmen, ohne Netzwerkrauschen zu erzeugen. Dennoch ist es möglich, die Artefakte durch Verschlüsselung, Tunnelung und Manipulation der Pakete zu verbergen. Die zweite Tatsache ist also die Herausforderung dieses Vorteils.

• Verfügbarkeit von Protokollquellen: Protokolle liefern wertvolle Informationen, die dabei helfen, die Ereigniskette zu korrelieren und die Untersuchungshypothese zu untermauern. Die meisten EDRs, EPPs und Netzwerkgeräte erstellen standardmäßig Protokolle. Es ist einfach, Protokolldateien zu haben, wenn der Angreifer/die Bedrohung/die Malware sie nicht gelöscht/zerstört hat.

• Es ist möglich, Beweise für böswillige Aktivitäten im Zusammenhang mit dem Gedächtnis und außerhalb des Wohnsitzes zu sammeln: Die Malware/Bedrohung könnte im Speicher verbleiben, um nicht erkannt zu werden. Die Befehls- und Verbindungsreihen befinden sich jedoch im Netzwerk. Daher ist es möglich, Bedrohungen außerhalb des Speichers mit Tools und Taktiken der Netzwerkforensik zu erkennen.

Herausforderungen der Netzwerkforensik

Allgemeine Herausforderungen der Netzwerkforensik werden im Folgenden erläutert;

• Entscheiden, was zu tun ist: Eine der schwierigsten Herausforderungen der Netzwerkforensik ist die Entscheidung, was zu tun ist. Das Carving von Netzwerken dient verschiedenen Zwecken: SOC, IH/IR und Threat Hunting. Das Beobachten, Aufspüren, Aufspüren oder Unterbinden einer anomalen Aktivität ist ebenfalls möglich.

• Ausreichende Daten-/Beweissammlung im Netzwerk: Einer der Vorteile der Netzwerkforensik ist die „einfache Beweismittelbeschaffung“. Die Breite dieses Konzepts stellt jedoch eine Herausforderung dar. Bei der Daten-/Beweismittelbeschaffung sind mehrere Punkte zu beachten.
• Kurze Datenerfassung: Eine der Herausforderungen bei der Daten-/Beweiserfassung. Die Erfassung aller Netzwerkaktivitäten ist nicht anwendbar und praktikabel. Daher ist es schwierig, immer die Paketerfassungen zu haben, die die Zeit vor, während und nach dem Ereignis abdecken.

• Die Nichtverfügbarkeit der vollständigen Paketerfassung bei verdächtigen Ereignissen: Das kontinuierliche Erfassen, Speichern und Verarbeiten von Vollpaketen kostet Zeit und Ressourcen. Wenn Vollpakete nicht über einen längeren Zeitraum erfasst werden können, entstehen Zeitlücken zwischen den Erfassungen, wodurch ein erheblicher Teil eines relevanten Ereignisses verpasst wird. Manchmal werden NetFlow-Erfassungen anstelle von Vollpaketerfassungen verwendet, um den Aufwand für Vollpaketerfassungen zu reduzieren und die Erfassungszeit zu erhöhen. Beachten Sie, dass Vollpaketerfassungen vollständige Paketdetails liefern und die Möglichkeit zur Ereignisrekonstruktion bieten, während NetFlow eine Zusammenfassung auf hoher Ebene, jedoch keine Daten-/Nutzlastdetails liefert.

• Verschlüsselter Datenverkehr: Verschlüsselte Daten stellen eine weitere Herausforderung für die Netzwerkforensik dar. In den meisten Fällen ist es nicht möglich, den Inhalt der verschlüsselten Daten herauszufinden. Die verschlüsselten Daten können jedoch dennoch wertvolle Informationen für die Hypothese liefern, wie Quell- und Zieladresse und verwendete Dienste.

• DSGVO und Datenschutzbedenken bei der Verkehrsaufzeichnung: Das Erfassen des Datenverkehrs ist dasselbe wie „alles auf der Leitung aufzuzeichnen“; daher muss diese Maßnahme der DSGVO und unternehmensspezifischen Vorschriften (z. B. HIPAA, PCI DSS und FISMA) entsprechen.

• Nicht standardmäßige Portnutzung: Ein beliebter Ansatz bei forensischen Untersuchungen im Netzwerk besteht darin, sich im ersten Untersuchungsschritt die niedrig hängenden Früchte zu schnappen. Die Suche nach häufig verwendeten Mustern (wie bekannten Ports und Diensten, die bei der Aufzählung und Ausnutzung verwendet werden) wird als „Greifen der niedrig hängenden Früchte“ bezeichnet. Manchmal verwenden Angreifer/Bedrohungen jedoch nicht standardmäßige Ports und Dienste, um der Erkennung zu entgehen und Sicherheitsmechanismen zu umgehen. Daher stellt dies manchmal eine Herausforderung für die Netzwerkforensik dar.

• Probleme mit der Zeitzone: Die Verwendung einer gemeinsamen Zeitzone ist für die Untersuchung von Ereignissen im großen Maßstab wichtig. Insbesondere wenn mit mehreren Ressourcen in unterschiedlichen Zeitzonen gearbeitet wird, kann die Verwendung unterschiedlicher Zeitzonen zu Schwierigkeiten bei der Ereigniskorrelation führen.

• Fehlende Protokolle: Die Netzwerkforensik beschränkt sich nicht nur auf die Untersuchung der Netzwerkverkehrsdaten. Netzwerkgeräte und Ereignisprotokolle sind für die Ereigniskorrelation und Untersuchungshypothesen von entscheidender Bedeutung. Diese Tatsache ist auch den Angreifern/Bedrohungen bekannt; daher werden diese Protokolle häufig von ihnen gelöscht, um die Untersuchung zu erschweren.

Quellen für Beweise aus der Netzwerkforensik

Das Erfassen des richtigen Netzwerkverkehrs erfordert Wissen und Werkzeuge. Normalerweise besteht nur eine einzige Chance, den Live-Verkehr als Beweismittel zu erfassen. Es gibt mehrere Beweisquellen zum Sammeln von Netzwerkforensikdaten.

• Wasserhähne
• InLine-Geräte
• SPAN-Anschlüsse
• Naben
• Schalter
• Router
• DHCP-Server
• Nameserver
• Authentifizierungsserver
• Firewalls
• Web-Proxys
• Zentrale Protokollserver
• Protokolle (IDS/IPS, Anwendung, Betriebssystem, Gerät)

Hauptzwecke der Netzwerkforensik

Netzwerkforensische Untersuchungen dienen zwei Hauptzwecken.

• Sicherheitsoperationen (SOC): Tägliche Sicherheitsüberwachungsaktivitäten hinsichtlich Systemleistung und -integrität, Benutzerverhalten und Sicherheitsproblemen.

• Vorfallbehandlung/-reaktion und Bedrohungssuche: Untersuchungsaktivitäten während/nach einem Vorfall zum Verständnis der Ursache des Vorfalls, zur Erkennung böswilliger und verdächtiger Aktivitäten und zur Untersuchung des Datenflussinhalts.

Untersuchte Datentypen in der Netzwerkforensik

In der Netzwerkforensik werden drei Hauptdatentypen untersucht

• Live-Verkehr
• Verkehrserfassungen (vollständige Paketerfassungen und Netzwerkflüsse)
• Protokolldateien

NetworkMiner kann Paketbilder und Live-Verkehr verarbeiten und handhaben. Daher werden wir uns in diesem Raum auf Live- und aufgezeichneten Verkehr konzentrieren. Beide Datenquellen sind für forensische Untersuchungen wertvoll.

Raumantworten

Video-Komplettlösung