News & Medien

Forensische Sicherung von Systemen in einer ESXi-Umgebung

Ein entscheidender Schritt bei der Untersuchung von Sicherheitsvorfällen ist die richtige IT-forensische Sicherung – unabhängig von der Art des betroffenen Systems.

Forensische Sicherung von Systemen in einer ESXi-Umgebung

Da in vielen Unternehmen vermehrt virtuelle Umgebungen eingesetzt werden, sind bei einer Vielzahl von Vorfällen mit Schadsoftware virtuelle Server betroffen. Deshalb ist es wichtig, diese virtuellen Server IT-forensisch korrekt zu sichern. Dazu können Snapshots erstellt werden, die den Zustand der virtuellen Maschinen zu einem bestimmten Zeitpunkt speichern. Die so gesicherten Daten können dann zur IT-forensischen Untersuchung übermittelt werden, um das Ausmass des Vorfalls, den ursprünglichen Infektionspunkt und die genauen Aktivitäten der Angreifer zu ermitteln und nachzuvollziehen.

Datensicherung

In der Sicherungsphase werden die für den Vorfall relevanten Daten und Systeme identifiziert und gesichert. Ziel ist es, diese Daten möglichst unverändert zu sichern. Da Daten flüchtig sein können, müssen sie so schnell wie möglich und in der Reihenfolge ihrer Flüchtigkeit gesichert werden, damit möglichst keine wertvollen Informationen verloren gehen. Zu flüchtigen Daten gehören beispielsweise Daten im Zwischenspeicher und die aktuelle Laufzeitumgebung. Für die forensische Untersuchung ist die korrekte Sicherung aller Daten matchentscheidend und die Grundlage für deren Erfolg.

Grundsätzlich gilt:

  1. Virtuelle Maschine (VM) nicht stoppen.
  2. VM Snapshot erstellen, damit die flüchtigen Daten festgehalten werden.
  3. VM vom Netzwerk und anderen Systemen trennen, alternativ VM aussetzen oder herunterfahren.
  4. Relevante Dateien herunterladen.
  5. Dateien einer forensischen Analyse unterziehen.

Dieser Blogbeitrag beschreibt zunächst, welche Dateien auf einem VMware ESXi-Server (getestet mit Version 6.7) [1] gesichert werden sollten. Anschliessend werden zwei alternative Methoden zur Datensicherung erläutert, eine davon über SSH (Secure Shell) und die andere über die grafische Benutzeroberfläche (GUI). Die IT-forensische Analyse und die Gerichtsverwertbarkeit, darunter das Verifizieren von Hashes der gesicherten Dateien, werden nicht behandelt.

Benötigte Dateien

Da Spuren von Schadsoftware sowohl auf der Festplatte als auch im Arbeitsspeicher gefunden werden können, sind für eine IT-forensische Untersuchung sowohl die virtuelle Festplatte (.vmdk-Dateien) als auch der Arbeitsspeicher (.vmem-Dateien) virtueller Maschinen interessant.

Die folgende Tabelle beschreibt die verschiedenen Dateitypen und deren Funktion in einer virtuellen Maschine. [2]

DateitypBeschreibung
VMName-Snapshot1.vmemRAM-Inhalt zur Zeit der Erstellung des Snapshots (Snapshot-Nummern sind inkrementell)
VMName-Snapshot1.vmsnZustand einer virtuellen Maschine zum Zeitpunkt der Erstellung des Snapshots
VMName-Snapshot1.vmssStatusdatei einer ausgesetzten virtuellen Maschine
VMName.vmdkInhalt des Laufwerks der virtuellen Maschine
VMName-000001.vmdkInhalt der virtuellen Festplatte zum Zeitpunkt von Snapshot 1
VMName-000001-delta.vmdkÄnderungen auf der Festplatte seit der Erstellung von Snapshot 1
VMName.vmxKonfigurationsdatei der virtuellen Maschine
vmware.logLog-Datei
VMName.nvramBIOS- oder EFI-Konfiguration der virtuellen Maschine
VMName.vmsdSnapshot-Metadaten
VMName.vmxfKonfigurationsdatei
Tabelle 1: Dateitypen einer virtuellen Maschine

Für eine Untersuchung werden die Festplattendateien VMName.vmdk, VMName-flat.vmdk, VMName-000001.vmdk, VMName-000001-delta.vmdk und alle .vmem-Dateien benötigt.

TIPP

Sämtliche Snapshots vor Eintritt des Ereignisses müssen gesichert werden. Die Delta-Dateien werden bei Snapshots inkrementell erstellt. Sie entsprechen der aktuellsten Version des Systems, werden jedoch nicht direkt in die Haupt-.vmdk-Datei eingebettet. Falls Snapshots vorliegen, aber nicht kopiert werden, wäre also nur der Status der Festplatte vor dem ersten Snapshot verfügbar. Dies kann Monate oder Jahre zurückliegen, was eine IT-forensische Analyse des Vorfalls unmöglich macht. Aus diesem Grund werden alle Snapshots zwischen dem ersten Stand und dem Ereignis benötigt. 

Sicherung über SSH

Folgende vier Schritte müssen zur Datensicherung über SSH durchgeführt werden:

1. Schritt

Zuerst muss der Zugriff auf den ESXi-Server über SSH aktiviert werden, um die Dateien danach per SFTP (Secure File Transfer Protocol) oder SCP (Secure Copy Protocol) kopieren zu können.Das kann mit der «Direct Console User Interface» (wie in Abbildung 1 gezeigt) auf dem ESXi-Server durchgeführt werden, auf die über die physische Konsole zugegriffen wird. Dazu über «F2» «Troubleshooting Options» aufrufen und auf «Enable SSH» klicken. Ein Neustart ist nicht nötig.

Abbildung 1: Aktivierung des SSH-Zugriffs mit der «Direct Console User Interface»

In der Weboberfläche (hier http://192.168.198.135) kann SSH unter «Host > Manage > Services» durch Klicken auf «Start» aktiviert werden (siehe Abbildung 2).

Abbildung 2: Aktivierung des SSH-Zugriffs in der Weboberfläche

2. Schritt

Ein Snapshot wird erstellt, indem in der Weboberfläche die virtuelle Maschine ausgewählt und der Prozess dann über «Actions > Take Snapshot» gestartet wird (siehe Abbildung 3). Die virtuelle Maschine muss dabei nicht angehalten werden, da sonst die flüchtigen Daten verloren gehen würden. Zusätzlich sollte sichergestellt werden, dass das Kontrollkästchen «Snapshot the virtual machine’s memory» aktiviert ist (siehe Abbildung 4), sodass neben der Festplatte auch ein Abbild des Arbeitsspeichers erstellt wird.

Abbildung 3: Erstellung von Snapshots
Abbildung 4: Auswählen des Kontrollkästchens für Arbeitsspeicherdump

3. Schritt

Nun können die Dateien heruntergeladen bzw. kopiert werden. Dies kann über eines der beiden folgenden Verfahren erfolgen:

  • Verfahren A

Durch den Aufbau einer SFTP-Verbindung mit dem ESXi-Server können die Snapshots mit dem «get»-Befehl aus dem entsprechenden Verzeichnis heruntergeladen werden:

# SFTP-Verbindung mit ESXi-Server aufbauen
C:\> sftp root@[IP-Adresse vom ESXi] 
# Beispiel: C:\> sftp root@192.168.198.135

# Speicherort der virtuellen Maschine öffnen
sftp> cd vmfs/volumes/datastore1/[VM-Name] 
# Beispiel: sftp> cd vmfs/volumes/datastore1/Windows10

# Datei herunterladen (siehe Kapitel Benötigte Dateien)
sftp> get [herunterzuladende Datei] 
# Beispiel: sftp> get Windows10-000001.vmdk
  • Verfahren B

Durch die Verwendung von SCP können die Dateien mit dem folgenden Befehl kopiert werden:

# SCP-Verbindung mit ESXi-Server aufbauen und Datei herunterladen
C:\> scp root@[IP-Adresse vom ESXi]:vmfs/volumes/datastore1/[VM-Name]/[herunterzuladende Datei] ”[Zielpfad]”

# Beispiel: C:\> scp root@192.168.198.135:/vmfs/volumes/datastore1/Windows10/Windows10-000001.vmdk ”D:/ESXi”

TIPP

Anschliessend sollte SSH auf die gleiche Weise deaktiviert werden, wie es zuvor aktiviert wurde.

4. Schritt

Die gesicherten Daten können nun zur Analyse einem IT-Forensiker übergeben werden.

Sicherung über Weboberfläche

Diese Alternative ist etwas benutzerfreundlicher, da sie keine Interaktion mit der Kommandozeile erfordert und nicht erst eine SSH-Verbindung aufgebaut werden muss. Beim Herunterladen von sehr grossen Dateien über die Weboberfläche können jedoch auch Probleme auftreten, beispielsweise durch Session-Timeouts.

Folgende Schritte müssen zur Datensicherung über die Weboberfläche durchgeführt werden:

  1. Bei der Weboberfläche anmelden (hier über http://192.168.198.135).
  2. Snapshot erstellen, wie oben beschrieben.
  3. In der Weboberfläche die Dateien unter «Storage > Datastore browser» auswählen und über «Download» herunterladen (siehe Abbildung 5).
  4. Die gesicherten Daten können dann zur Analyse an einen IT-Forensiker übermittelt werden.
Abbildung 5: Herunterladen der Dateien in der Weboberfläche

Zusammenfassung

Wenn Sie eine der beiden beschriebenen Methoden zur Datensicherung gründlich durchführen, haben Sie bereits einen entscheidenden Schritt hin zu einer erfolgreichen forensischen Untersuchung gemacht. Sollten dabei Fragen auftreten oder Sie dabei Schwierigkeiten haben, dürfen Sie jederzeit das CSIRT-Team von Oneconsult kontaktieren: Kontakt

Autorin

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Während ihres Studiums absolvierte sie ein Praktikum im Forensik-Team der Kantonspolizei Waadt. Ihre Masterarbeit schrieb sie während eines 4-monatigen Praktikums in einem Cybersicherheitsunternehmen in Wien. Der Fokus ihrer Masterarbeit lag auf der Analyse der Firmware von IoT-Geräten. Im ersten Teil ihrer Arbeit beschäftigte sie sich mit der Schwachstellenbewertung von mehreren Versionen derselben Firmware durch den Einsatz verschiedener Schwachstellen-Scanner. Der zweite Teil befasste sich mit der forensischen Analyse von kompromittierten IoT-Geräten. Sie ist zertifizierte GIAC Certified Forensic Analyst (GCFA) und GIAC Reverse Engineering Malware (GREM), und zertifizierte OSSTMM Professional Security Tester (OPST) und seit August 2020 als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

Kategorie: DFIR Analyst’s Diary
Publiziert am: 20.01.2022

Teilen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

qr_code_emergency_2022
CSIRT zu den Kontakten hinzufügen