Artefaktanalyse
Was ist Artefaktanalyse?
ArtefaktanalyseUntersuchung digitaler Spuren, die Betriebssysteme und Anwendungen hinterlassen, um Benutzeraktionen, Programmausführung und Angreiferverhalten zu rekonstruieren.
Die Artefaktanalyse konzentriert sich auf persistente und flüchtige Überreste, die Betriebssysteme und Anwendungen im Normalbetrieb erzeugen: Prefetch, ShimCache, AmCache, Jump Lists, LNK-Dateien, Browserverlauf, Papierkorb, Windows-Ereignisprotokolle, journald und vieles mehr. Jedes Artefakt beantwortet eine bestimmte Beweisfrage, etwa ob eine Binärdatei ausgeführt wurde oder welche Dateien ein Benutzer geöffnet hat. Analysten sammeln Artefakte mit KAPE, Velociraptor oder FTK Imager und werten sie mit EZ Tools, Plaso oder Autopsy aus. Die Interpretation hängt von der Betriebssystemversion ab, da Format und Aufbewahrung zwischen Windows, macOS und Linux variieren.
● Beispiele
- 01
Auswertung des Windows-Prefetch, um zu belegen, dass eine umbenannte Schadsoftware zweimal auf einer Workstation ausgeführt wurde.
- 02
Prüfung der ShellBags, um zu bestätigen, dass ein Angreifer ein sensibles Share durchsucht hat.
● Häufige Fragen
Was ist Artefaktanalyse?
Untersuchung digitaler Spuren, die Betriebssysteme und Anwendungen hinterlassen, um Benutzeraktionen, Programmausführung und Angreiferverhalten zu rekonstruieren. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Artefaktanalyse?
Untersuchung digitaler Spuren, die Betriebssysteme und Anwendungen hinterlassen, um Benutzeraktionen, Programmausführung und Angreiferverhalten zu rekonstruieren.
Wie schützt man sich gegen Artefaktanalyse?
Schutzmaßnahmen gegen Artefaktanalyse kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Artefaktanalyse?
Übliche alternative Bezeichnungen: Forensische Artefaktanalyse, Host-Artefaktanalyse.