Windows-Forensik mit KI-Unterstützung

Seminarziel

Die Teilnehmenden erlernen die systematische Sicherung und Analyse forensischer Artefakte unter Windows. Ziel ist es, Speicherabbilder zu erstellen, die Registry und das Dateisystem zu untersuchen sowie mittels KI-gestützter Tools Event-Logs und Registry-Anomalien effizient zu interpretieren, um den Hergang eines Sicherheitsvorfalls lückenlos zu rekonstruieren.

Inhalt

• 1. Grundlagen und Live-Response
  • Order of Volatility: Sicherung flüchtiger Daten (RAM, Netzwerkverbindungen).
  • Imaging: Erstellung von bitgenauen Kopien (E01, Raw) unter Wahrung der Chain of Custody.
  • Triage: Schnelle Datenerhebung mit Tools wie KAPE oder Velociraptor.
• 2. Dateisystem-Forensik (NTFS)
  • MFT-Analyse: Master File Table als Zeitkapsel für Dateioperationen.
  • Timestomping: Erkennung von manipulierten Zeitstempeln.
  • Deleted Files: Wiederherstellung von Daten aus dem Unallocated Space und Slack Space.
• 3. Persistenz und Programmausführung
  • User-Aktivität: Analyse von ShellBags, LNK-Dateien und Jump Lists.
  • Execution Artefacts: Prefetch, Superfetch und Amcache zur Nachverfolgung von Programmstarts.
  • Autostart-Mechanismen: Versteckte Dienste, geplante Aufgaben und WMI-Event-Consumer.
• 4. LLM-gestützte Event-Log-Analyse (Neu/Zusatz)
  • Automatisierte Klassifizierung: Nutzung von LLMs (z. B. GPT-4, Claude) zur Interpretation kryptischer Event-IDs.
  • Pattern Recognition: Schnelles Filtern von lateralen Bewegungen (RDP, SMB) in Millionen von Log-Einträgen.
  • Natural Language Querying: Abfragen von Log-Daten in natürlicher Sprache statt komplexer XPath-Filter.
• 5. Windows Registry Forensik
  • Hives und Keys: System-, Software- und User-Hives (NTUSER.DAT) auswerten.
  • Spurensuche: USB-Historie, zuletzt geöffnete Dateien und installierte Software.
  • User-Assist: Rekonstruktion der Benutzerinteraktion über die Registry.
• 6. KI-basierte Anomalie-Erkennung in der Registry (Neu/Zusatz)
  • Baseline-Vergleich: ML-gestützter Abgleich gegen "saubere" Standard-Registry-Snapshots.
  • Malicious Persistence: KI-Erkennung von ungewöhnlichen Pfaden in Run-Keys und versteckten Binärdaten (Blobs).
  • Entropy-Analyse: Identifikation von verschlüsselten oder obfuscated Inhalten in Registry-Werten durch Machine Learning.
• 7. Memory Forensik
  • Volatility Framework: Analyse von Prozessen, DLLs und Code-Injektionen im RAM.
  • Passwort-Extraktion: Suche nach Zugangsdaten im Klartext (LSASS-Dumps).
  • Malware im Speicher: Erkennung von "Fileless Malware" und Rootkits.
• 8. Praxis-Simulation: Der "State-sponsored Attack"
  • Szenario: Einbruch über ein infiziertes Office-Dokument mit anschließender Privilege Escalation.
  • Workshop: Anwendung der KI-Tools zur schnellen Eingrenzung des Zeitfensters in den Logs.
  • Forensischer Bericht: Erstellung einer Zusammenfassung der Beweiskette vom Einstiegspunkt bis zum Datenabfluss.