Cyber Response Team
1.3 Beeldvorming en opstart forensisch onderzoek
Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geĆÆnfecteerde ofĀ geĆÆmpacteerdeĀ systemen en toepassingen onderzocht wordenĀ door de lokale IT-dienst.Ā Een dergelijk forensisch onderzoek is belangrijk voor het vergaderen van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken.Ā Middelen om volledige schijfkopieĆ«n te maken en te analyseren, geheugendumps (op afstand) te nemen van eenĀ verdachte machine enĀ write-blockersĀ zijn nuttig bij de uitvoering van deze analyse.Ā Ā
Tijdens het forensisch onderzoekĀ dienen o.a. volgende zaken onderzocht te worden:Ā
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevensĀ
Toegangslogs van servers en toestellen
Operationele logs van systemen
Firewall-logs
Netwerkverkeer
Meldingen uitĀ endpointbeveiliging
Gestolen, gemanipuleerde ofĀ onbeschikbareĀ data
Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevensĀ
Het is cruciaalĀ voor het forensisch onderzoekĀ datĀ mogelijk besmette systemen als computersĀ niet uitgezet worden, aangezien op deze manier belangrijke sporen verloren kunnen gaan die gebruikt kunnen worden om de daders te achterhalen en de concrete oorzaak te identificeren. Het is wel mogelijk om de systemen en toepassingen los te koppelen van het internet enĀ lokale netwerk.Ā Bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.Ā
Vergeet niet om in deze fase een inventaris op te maken met al het beschikbare bewijsmateriaal en wijs ook een verantwoordelijke aan om dit inventaris bij te houden en bij te werken.Ā Indien het incident ook het lekken van persoonsgegevens betreft, dient dit meteen vastgelegd en geĆÆnventariseerd te worden.
Ā
Afweging: Loskoppelen of bewijs vergaren?
Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening, en vermijden dat de besmetting zich verder verspreidt, anderzijds is hetĀ van belang om voldoende sporen te verzamelen om de daders te vattenĀ en de best mogelijke oplossing te formuleren.Ā Ā
Hierin zullen dus keuzes gemaakt moeten worden.Ā In het ene geval houden we bewijsmateriaal maximaal intact voor forensisch onderzoekĀ door toestellen aan te laten, maar kan de schade snel om zich heen grijpen en het herstellen van de dienstverlening bemoeilijkt worden.Ā In het andere geval wordt besloten omĀ machinesĀ binnen een afgelijnd procesĀ uitĀ te zetten, zodatĀ de voortplanting van schade daadkrachtig een halt toegeroepen. Dit houdt wel in datĀ relevante sporen zo goed als zeker voorgoed verlorenĀ raken.Ā
Het is dus belangrijk om te beseffen dat beide keuzesĀ hun voor- en nadelenĀ hebben:Ā
Keuze 1: LoskoppelenĀ
Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met hetĀ lokaleĀ netwerkĀ en internetĀ verbreekt.Ā Voor computersĀ kan je deĀ gewoonweg deĀ netwerkverbinding verbreken, bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm.Ā
Nadelen:Ā
Deze aanpak verhindertĀ meer diepgaand onderzoek, waardoor mogelijk zaken over het hoofd gezien wordenĀ en het oorspronkelijke probleem kan terugkeren.Ā
Je loopt het risico dat de dader alarm slaat en op korte termijn nog zoveel mogelijk schade tracht te berokkenen.Ā
Voordelen:Ā
De dienstverlening kan via deze weg sneller terug opgestart worden.Ā
De snelheid van deze oplossing maakt het moeilijker voor malware en besmettingen om zich verder uit te breiden binnen je systemen en netwerken.Ā
Keuze 2:Ā Bewijs vergarenĀ
Deze keuze betekent dat je je activiteiten zo goed als mogelijk tracht verder te zetten en zoveel mogelijk inzet op bewijsvergaring.Ā Ā
Nadelen:Ā
EenĀ forensischĀ onderzoek vraagtĀ bijkomendeĀ tijd en middelen.Ā
Deze keuze kan de heropstart van de dienstverlening vertragen.Ā
Voordelen:Ā
De kans is groter dat je het probleem bij de wortel kan aanpakken door extra in te zetten op beeldvorming.Ā
Zonder het nodige sporenonderzoek is het niet mogelijk om de daders te achterhalen en eventueel te vervolgen.Ā
In vele gevallen zal de oplossing ergens tussen beide keuzes in liggen. Welke beslissing je lokaal bestuur neemt, hangt af van het bereik, de grootte en impact van het incident.
Ā
Bij het loskoppelen van servers of computers is het van groot belang dat niets weggegooid wordt en dat ook geen (nieuwe) virusscannersĀ lopen, aangezien dit mogelijke aanwijzingen kan verwijderen.
Ā
Verdieping: Tips en tricks voor forensisch onderzoek
Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren. Hieronder worden enkele tips en aanwijzingen opgelijst:
Controleer firewall logs en netwerkverkeer: Door verbanden te leggen tussen tijdstippen in vreemd verkeer, is het mogelijk om te achterhalen op welke wijze de cybercriminelen zijn binnengekomen, alsook wanneer de intrusie plaatsvond. Noteer belangrijke tijdstippen voor verdacht netwerkverkeer, zodat deze gebruikt kunnen worden voor onderzoek op logfiles en eventlogs.
Controleer de gebruikersaccounts binnen de active directory (AD): Mogelijks merk je nieuwe accounts op zonder logische verklaring. Denk bijvoorbeeld aan een nieuwe account die niet vergelijkbaar is met accounts van nieuwe medewerkers.
Kijk naar accounts met verhoogde systeemrechten:Ā Werden beheersaccounts aangepast of gewijzigd? Dit is belangrijke informatie, aangezien de domain controller een gegeerd doel is voor cybercriminelen. Mogelijks merk je ook vreemd gedrag op in beheerdersaccounts, zoals nachtelijke activiteit ondanks dat er geen wijzigingen gepland waren.
InventariseerĀ vreemde incidentenĀ die mogelijk verband houdenĀ met de cyberaanval: Ga terug in de tijd en zoek naar problemen met de back-up omgeving, storage omgeving of niet gedocumenteerde wijzigingen in de DMZ-omgeving. Deze informatie kan helpen om het pad en de werkwijze van de cybercriminelen te schetsen.
Werd een gehackte computer via Remote Desktop ProtocolĀ (RDP) overgenomen? Via een tools als 'RDP Cached Bitmap Extractor' kan je het beeld oproepen dat de hacker het laatst heeft gezien tijdens de RDP-sessie.
Ā
Dit is een document voor publiek gebruik.