Autopsy Aufgabe
Zur Navigation springen
Zur Suche springen
Forensik-Lab präparieren: Insider-Exfiltration
Lineare Anleitung. Von oben nach unten abarbeiten, feste Pfade, feste Befehle. Ergebnis: ein gesalzenes Windows-Image (Tiny11), das in Autopsy zerlegt wird. Story und Funde stehen im Lösungsschlüssel (nur für Dozent).
- Story
- Mitarbeiter Christine Mueller (Konto cmueller) exfiltriert vor
- der Kündigung Firmendokumente auf einen USB-Stick und verwischt Spuren.
0. Vorbereitung
- VM herunterfahren, Snapshot sauber anlegen (Rückfallpunkt)
- Booten, als Admin anmelden
- Benutzerkonto anlegen
net user cmueller Passwort123! /add
- Firmendaten anlegen (das spätere Diebesgut)
mkdir C:\Daten echo Quartalszahlen Q3 - VERTRAULICH > C:\Daten\finanzen_q3.docx echo Kundenliste Gesamt 2XXX > C:\Daten\kundenliste.docx echo Gehaltsuebersicht Abteilung IT > C:\Daten\gehaelter.docx
- Abmelden, als cmueller anmelden. Ab hier ALLES als cmueller.
1. Browser: Recherche + Download
Edge öffnen, der Reihe nach in die Adressleiste tippen (typed URLs!), nicht über Lesezeichen:
- google.com → suchen: dateien anonym hochladen teilen
- ein Filehoster-Ergebnis anklicken
- danach: 7-zip.org aufrufen, 7-Zip-Installer herunterladen
2. Tool installieren + ausführen
- 7-Zip installieren (Doppelklick auf Download)
- 7-Zip 2x über Startmenü öffnen (erzeugt Prefetch + UserAssist)
3. Daten archivieren + tarnen
- Dokumente in ein Archiv packen
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
- Archiv als harmloses Bild tarnen (Extension-Mismatch)
ren C:\Users\cmueller\Desktop\projekt_export.7z urlaubsfotos.jpg
4. USB-Exfiltration
- USB-Stick an die VM durchreichen (VirtualBox: Geräte → USB;
- Proxmox: USB-Device an VM binden)
- Diebesgut auf den Stick kopieren (Laufwerk hier E
- )
copy C:\Users\cmueller\Desktop\urlaubsfotos.jpg E:\
- Stick wieder abziehen (USB-Device entfernen)
5. Verräterische Notiz + ADS
- Notiz mit verstecktem Stream (klassischer Finde-Trick)
echo Stick abholbereit Treffpunkt 2X Uhr > C:\Users\cmueller\Desktop\notiz.txt cmd /c "echo USB-PIN 2X-geheim-X2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"
6. Spur löschen
- Belastende Datei erstellen, dann löschen (später recovern)
echo Racheplan: Daten kopiert, Stick abgegeben, Kuendigung naechste Woche > C:\Users\cmueller\Desktop\plan.txt del C:\Users\cmueller\Desktop\plan.txt
- Quelldaten "aufräumen": Ordner C:\Daten in den Papierkorb (über Explorer)
7. Anti-Forensik
- Zeitstempel der getarnten Datei fälschen (PowerShell)
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg $f.CreationTime = "2020-01-01 02:00:00" $f.LastWriteTime = "2020-01-01 02:00:00" $f.LastAccessTime = "2020-01-01 02:00:00"
- Security-Eventlog leeren (erzeugt selbst Event 1102)
wevtutil cl Security
8. Abschluss + Imaging
- Abmelden, als Admin anmelden
- 1x sauber neu starten (Registry-Flush, Prefetch setzt sich)
- Sauber herunterfahren – kein Imaging im Betrieb
- Disk zu raw konvertieren (Detail Autopsy)
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
- Optional E01 + Hash (Chain of Custody)
ewfacquire tiny11.raw sha256sum tiny11.E01
Lösungsschlüssel
Nicht an Teilnehmer ausgeben.
| # | Artefakt | Fundort | Autopsy |
|---|---|---|---|
| 1 | Suche + Download 7-Zip | Edge History/Downloads, typed URLs | Web Artifacts |
| 2 | 7-Zip ausgeführt | Prefetch, UserAssist | Recent Activity |
| 3 | Exfil-Archiv getarnt | Desktop urlaubsfotos.jpg (7z-Signatur!) | File Type Mismatch |
| 4 | Versteckte PIN | notiz.txt:hidden.txt | File System (ADS) |
| 5 | USB-Insertion + Copy | USBSTOR, setupapi.dev.log, LNK | Recent Activity |
| 6 | Gelöschter Racheplan | plan.txt (unallocated) | Deleted Files |
| 7 | Gelöschte Firmendaten | Recycle Bin $I/$R | Deleted Files |
| 8 | Timestomping | urlaubsfotos.jpg (MAC = 2020, inkonsistent) | Timeline |
| 9 | Eventlog-Löschung | Security Event 1102 | Keyword Search |
Aufgabe
- Teilnehmer rekonstruieren über die Timeline die Tat und belegen jeden
- Schritt der Story mit dem passenden Artefakt (Nr. 1–9).