Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst. Een dergelijk forensisch onderzoek is belangrijk voor het vergaderen van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken. Middelen om volledige schijfkopieën te maken en te analyseren, geheugendumps (op afstand) te nemen van een verdachte machine en write-blockers zijn nuttig bij de uitvoering van deze analyse.
Tijdens het forensisch onderzoek dienen o.a. volgende zaken onderzocht te worden:
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens
Toegangslogs van servers en toestellen
Operationele logs van systemen
Firewall-logs
Netwerkverkeer
Meldingen uit endpointbeveiliging
Gestolen, gemanipuleerde of onbeschikbare data
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens
Het is cruciaal voor het forensisch onderzoek dat mogelijk besmette systemen als computers niet uitgezet worden, aangezien op deze manier belangrijke sporen verloren kunnen gaan die gebruikt kunnen worden om de daders te achterhalen en de concrete oorzaak te identificeren. Het is wel mogelijk om de systemen en toepassingen los te koppelen van het internet en lokale netwerk. Bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.
Vergeet niet om in deze fase een inventaris op te maken met al het beschikbare bewijsmateriaal en wijs ook een verantwoordelijke aan om dit inventaris bij te houden en bij te werken. Indien het incident ook het lekken van persoonsgegevens betreft, dient dit meteen vastgelegd en geïnventariseerd te worden.
Afweging: Loskoppelen of bewijs vergaren?
Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening, en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren.
Hierin zullen dus keuzes gemaakt moeten worden. In het ene geval houden we bewijsmateriaal maximaal intact voor forensisch onderzoek door toestellen aan te laten, maar kan de schade snel om zich heen grijpen en het herstellen van de dienstverlening bemoeilijkt worden. In het andere geval wordt besloten om machines binnen een afgelijnd proces uit te zetten, zodat de voortplanting van schade daadkrachtig een halt toegeroepen. Dit houdt wel in dat relevante sporen zo goed als zeker voorgoed verloren raken.
Het is dus belangrijk om te beseffen dat beide keuzes hun voor- en nadelen hebben:
Keuze 1: Loskoppelen
Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt. Voor computers kan je de gewoonweg de netwerkverbinding verbreken, bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.
Nadelen:
Deze aanpak verhindert meer diepgaand onderzoek, waardoor mogelijk zaken over het hoofd gezien worden en het oorspronkelijke probleem kan terugkeren.
Je loopt het risico dat de dader alarm slaat en op korte termijn nog zoveel mogelijk schade tracht te berokkenen.
Voordelen:
De dienstverlening kan via deze weg sneller terug opgestart worden.
De snelheid van deze oplossing maakt het moeilijker voor malware en besmettingen om zich verder uit te breiden binnen je systemen en netwerken.
Keuze 2: Bewijs vergaren
Deze keuze betekent dat je je activiteiten zo goed als mogelijk tracht verder te zetten en zoveel mogelijk inzet op bewijsvergaring.
Nadelen:
Een forensisch onderzoek vraagt bijkomende tijd en middelen.
Deze keuze kan de heropstart van de dienstverlening vertragen.
Voordelen:
De kans is groter dat je het probleem bij de wortel kan aanpakken door extra in te zetten op beeldvorming.
Zonder het nodige sporenonderzoek is het niet mogelijk om de daders te achterhalen en eventueel te vervolgen.
In vele gevallen zal de oplossing ergens tussen beide keuzes in liggen. Welke beslissing je lokaal bestuur neemt, hangt af van het bereik, de grootte en impact van het incident.
Bij het loskoppelen van servers of computers is het van groot belang dat niets weggegooid wordt en dat ook geen (nieuwe) virusscanners lopen, aangezien dit mogelijke aanwijzingen kan verwijderen.
Verdieping: Tips en tricks voor forensisch onderzoek
Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren. Hieronder worden enkele tips en aanwijzingen opgelijst:
Controleer firewall logs en netwerkverkeer: Door verbanden te leggen tussen tijdstippen in vreemd verkeer, is het mogelijk om te achterhalen op welke wijze de cybercriminelen zijn binnengekomen, alsook wanneer de intrusie plaatsvond. Noteer belangrijke tijdstippen voor verdacht netwerkverkeer, zodat deze gebruikt kunnen worden voor onderzoek op logfiles en eventlogs.
Controleer de gebruikersaccounts binnen de active directory (AD): Mogelijks merk je nieuwe accounts op zonder logische verklaring. Denk bijvoorbeeld aan een nieuwe account die niet vergelijkbaar is met accounts van nieuwe medewerkers.
Kijk naar accounts met verhoogde systeemrechten: Werden beheersaccounts aangepast of gewijzigd? Dit is belangrijke informatie, aangezien de domain controller een gegeerd doel is voor cybercriminelen. Mogelijks merk je ook vreemd gedrag op in beheerdersaccounts, zoals nachtelijke activiteit ondanks dat er geen wijzigingen gepland waren.
Inventariseer vreemde incidenten die mogelijk verband houden met de cyberaanval: Ga terug in de tijd en zoek naar problemen met de back-up omgeving, storage omgeving of niet gedocumenteerde wijzigingen in de DMZ-omgeving. Deze informatie kan helpen om het pad en de werkwijze van de cybercriminelen te schetsen.
Werd een gehackte computer via Remote Desktop Protocol (RDP) overgenomen? Via een tools als 'RDP Cached Bitmap Extractor' kan je het beeld oproepen dat de hacker het laatst heeft gezien tijdens de RDP-sessie.