Autopsy Aufgabe

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Forensik-Lab präparieren: Insider-Exfiltration

Lineare Anleitung. Von oben nach unten abarbeiten, feste Pfade, feste Befehle. Ergebnis: ein gesalzenes Windows-Image (Tiny11), das in Autopsy zerlegt wird. Story und Funde stehen im Lösungsschlüssel (nur für Dozent).

Story
Mitarbeiter Christine Mueller (Konto cmueller) exfiltriert vor
der Kündigung Firmendokumente auf einen USB-Stick und verwischt Spuren.

0. Vorbereitung

  • VM herunterfahren, Snapshot sauber anlegen (Rückfallpunkt)
  • Booten, als Admin anmelden
Benutzerkonto anlegen
net user cmueller Passwort123! /add
Firmendaten anlegen (das spätere Diebesgut)
mkdir C:\Daten
echo Quartalszahlen Q3 - VERTRAULICH > C:\Daten\finanzen_q3.docx
echo Kundenliste Gesamt 2XXX        > C:\Daten\kundenliste.docx
echo Gehaltsuebersicht Abteilung IT > C:\Daten\gehaelter.docx
  • Abmelden, als cmueller anmelden. Ab hier ALLES als cmueller.

1. Browser: Recherche + Download

Edge öffnen, der Reihe nach in die Adressleiste tippen (typed URLs!), nicht über Lesezeichen:

  • google.com → suchen: dateien anonym hochladen teilen
  • ein Filehoster-Ergebnis anklicken
  • danach: 7-zip.org aufrufen, 7-Zip-Installer herunterladen

2. Tool installieren + ausführen

7-Zip installieren (Doppelklick auf Download)
7-Zip 2x über Startmenü öffnen (erzeugt Prefetch + UserAssist)

3. Daten archivieren + tarnen

Dokumente in ein Archiv packen
"C:\Program Files\7-Zip\7z.exe" a C:\Users\cmueller\Desktop\projekt_export.7z C:\Daten\*.docx
Archiv als harmloses Bild tarnen (Extension-Mismatch)
ren C:\Users\cmueller\Desktop\projekt_export.7z urlaubsfotos.jpg

4. USB-Exfiltration

  • USB-Stick an die VM durchreichen (VirtualBox: Geräte → USB;
Proxmox: USB-Device an VM binden)
Diebesgut auf den Stick kopieren (Laufwerk hier E
)
copy C:\Users\cmueller\Desktop\urlaubsfotos.jpg E:\
  • Stick wieder abziehen (USB-Device entfernen)

5. Verräterische Notiz + ADS

Notiz mit verstecktem Stream (klassischer Finde-Trick)
echo Stick abholbereit Treffpunkt 2X Uhr > C:\Users\cmueller\Desktop\notiz.txt
cmd /c "echo USB-PIN 2X-geheim-X2 > C:\Users\cmueller\Desktop\notiz.txt:hidden.txt"

6. Spur löschen

Belastende Datei erstellen, dann löschen (später recovern)
echo Racheplan: Daten kopiert, Stick abgegeben, Kuendigung naechste Woche > C:\Users\cmueller\Desktop\plan.txt
del C:\Users\cmueller\Desktop\plan.txt
  • Quelldaten "aufräumen": Ordner C:\Daten in den Papierkorb (über Explorer)

7. Anti-Forensik

Zeitstempel der getarnten Datei fälschen (PowerShell)
$f = Get-Item C:\Users\cmueller\Desktop\urlaubsfotos.jpg
$f.CreationTime   = "2020-01-01 02:00:00"
$f.LastWriteTime  = "2020-01-01 02:00:00"
$f.LastAccessTime = "2020-01-01 02:00:00"
Security-Eventlog leeren (erzeugt selbst Event 1102)
wevtutil cl Security

8. Abschluss + Imaging

  • Abmelden, als Admin anmelden
  • 1x sauber neu starten (Registry-Flush, Prefetch setzt sich)
  • Sauber herunterfahren – kein Imaging im Betrieb
Disk zu raw konvertieren (Detail Autopsy)
qemu-img convert -O raw tiny11.qcow2 tiny11.raw
Optional E01 + Hash (Chain of Custody)
ewfacquire tiny11.raw
sha256sum tiny11.E01

Lösungsschlüssel

Nicht an Teilnehmer ausgeben.

# Artefakt Fundort Autopsy
1 Suche + Download 7-Zip Edge History/Downloads, typed URLs Web Artifacts
2 7-Zip ausgeführt Prefetch, UserAssist Recent Activity
3 Exfil-Archiv getarnt Desktop urlaubsfotos.jpg (7z-Signatur!) File Type Mismatch
4 Versteckte PIN notiz.txt:hidden.txt File System (ADS)
5 USB-Insertion + Copy USBSTOR, setupapi.dev.log, LNK Recent Activity
6 Gelöschter Racheplan plan.txt (unallocated) Deleted Files
7 Gelöschte Firmendaten Recycle Bin $I/$R Deleted Files
8 Timestomping urlaubsfotos.jpg (MAC = 2020, inkonsistent) Timeline
9 Eventlog-Löschung Security Event 1102 Keyword Search

Aufgabe

Teilnehmer rekonstruieren über die Timeline die Tat und belegen jeden
Schritt der Story mit dem passenden Artefakt (Nr. 1–9).