IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken

Nachdem Angreifer das IT-System kompromittieren, streben sie häufig Persistenz in der Umgebung an. Mit Autoruns kann man Persistenzmechanismen aufdecken.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Gregor Wegberg
Inhaltsverzeichnis

Angreifern steht eine große Zahl unterschiedlicher Persistenzmechanismen zur Verfügung, mit denen sie sich dauerhaft auf einem System einnisten können. Allein in der Windows-Matrix der Wissenssammlung MITRE ATT&CK Framework sind 87 solcher Mechanismen dokumentiert. Dieses Framework ist eine systematische, kategorisierte Aufstellung von Verhaltensmustern, die bei Angreifern und Schadsoftware beobachtet wurde.

In den letzten Jahren wurde sie zu einer zentralen Referenz und zum täglichen Werkzeug für Experten sowohl offensiver als auch defensiver IT-Sicherheit. Zu jeder Angriffstechnik (Techniques und Sub-Techniques) gibt es auf der Webseite des Projekts MITRE-ATT&CK eine Kurzbeschreibung, eine Liste von Angreifern und Schadsoftware, die sie angewendet haben, Empfehlungen zu relevanten Schutzmaßnahmen und Hinweise zur Detektion.

Mehr zum Thema IT-Forensik

Das Ausfindigmachen der Sicherheitslücke, über die ein Angreifer oder eine Malware einen Angriff begonnen hat und in ein IT-System eingedrungen ist, ist ein wichtiger Bestandteil bei der Bewältigung eines Informationssicherheitsvorfalls. Ihre Schließung soll sicherstellen, dass es nicht zu einer erneuten Kompromittierung kommt. Dies allein reicht aber nicht aus.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, MIT Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+