Web-Shells werden für eine ganze Bandbreite von Cyber-Angriffen genutzt und sind mitunter nur schwer zu erkennen. Viele private Beratungsfirmen, die forensische Analysen erstellen, nutzen hierfür seit Jahren dieselben Tools – einige Lösungen sind sogar bereits seit Jahrzehnten im Einsatz.

Gerade bei der Arbeit im Unternehmensbereich stoßen Digital-Forensiker immer wieder auf bestimmte Datentypen, in der Regel in Windows-Systemen. Nach einer gewissen Zeit wissen sie genau, wo Daten gespeichert sind, in welchem Format diese vorliegen und wie die Daten für Gerichtsverfahren extrahiert werden können. Für die Datensuche setzen sich bestimmte Protokolle, Standardverfahren und Tools durch, die in aller Regel gut funktionieren – bis sie es irgendwann nicht mehr tun, wie im folgenden Fall.

Kurze Zusammenfassung der Situation: Ein Unternehmensanwalt hatte die private Beratungsfirma Contact Discovery Services beauftragt, auf einem MacBook eines ausgeschiedenen Mitarbeiters gespeicherte E-Mails abzurufen.

Das erste Hindernis dabei trat bereits beim Imaging auf – es bestand schlicht keine Möglichkeit, den internen Speicher des MacBooks zu entfernen und zu duplizieren.  So kam das bewährte Tool Cellebrite MacQuisition zum Einsatz. Cellebrite MacQuisition wurde eigens für die Erstellung von Apple-Abbildern entwickelt. Mit MacQuisition konnte Contact Discovery Services ein vollständiges, forensisch einwandfreies Abbild der MacBook-Festplatte erstellen, ohne Daten zu verändern.

Der Fall

Der Fall wurde einem anerkannten Analysten mit 10 Jahren Erfahrung im Bereich der digitalen forensischen Analyse zugewiesen.  Er war sich bewusst, dass der Zugriff auf die E-Mails oberste Priorität hatte. Zuerst lud er das forensische Abbild des MacBooks mit traditionellen Analyse-Tools und suchte nach den E-Mail-Dateien.  Die für die Suche nach E-Mails und E-Mail-Speichern typischerweise verwendeten Filter konnten die angeforderten Daten nicht abrufen. Es wurden keine E-Mails gefunden.

Eine sonst einfache und schnelle Datenextraktion entwickelte sich zu einem aufwendigen Projekt.  Nach einigen Nachforschungen fand der Analyst heraus, dass die E-Mail-Dateien in einem Format vorlagen, das unter Outlook for Mac 2011 erstellt wurde. 

Der Analyst war mit diesem Format nicht vertraut und kannte weder die entsprechenden Dateierweiterungen noch die Speicherorte der Ordner. Zu allem Überfluss konnte auch das eingesetzte Forensik-Tool die Daten nicht interpretieren.  Der Analyst wusste nicht recht, wie er weitermachen sollte. Die seit Jahren verwendeten Tools waren nicht hilfreich, und er kam seinem Ziel einfach nicht näher.

Schlussendlich konsultierte er Cellebrite BlackLight. Mit der Lösung konnten das MacBook-Image verarbeitet und die Daten erfolgreich extrahiert werden.  Die E-Mail-Dateien wurden bei der ersten Verarbeitung rekonstruiert und unter dem Tab Kommunikation angezeigt. Obwohl der Analyst noch keine Erfahrung in der Anwendung von Cellebrite BlackLight und der Durchführung von Analysen auf Mac-Systemen hatte, konnte er die E-Mails dank der intuitiven Benutzeroberfläche schnell finden.

Der Export der Nachrichten in ein für den Kunden lesbares Format war ein Kinderspiel.  Dank Cellebrite BlackLight konnte der Forensiker dem Kunden einen realistischen und relativ genauen Zeitpunkt nennen, wann das Projekt abgeschlossen sein würde.

Mit Cellebrite MacQuisition ließ sich also zwar ein forensisch einwandfreies Abbild der Daten auf dem MacBook erstellen – doch erst mit Cellebrite BlackLight konnte der Analyst die benötigten E-Mails automatisch auffinden.  Dank der benutzerfreundlichen Oberfläche von Cellebrite BlackLight waren die E-Mails ohne langwierige Suche schnell gefunden und exportiert.  Die Hoffnung des Kunden auf eine zeitnahe Extraktion wurde erfüllt.

Die Analyse

Obwohl viele Forensik-Tools zur Auswahl standen, fiel die Wahl aufgrund der großen zu verarbeitenden Datenmengen auf Cellebrite BlackLight.

Das Ergebnis

Cellebrite BlackLight hat den gesamten Vorgang vereinfacht. Alle Ermittlungsaktivitäten wurden gekennzeichnet und die benötigten E-Mails automatisch lokalisiert. Über die intuitive Benutzeroberfläche konnten Daten unkompliziert gesucht, gefiltert und zusammengeführt werden. Die Extraktion der gespeicherten E-Mails gelang in Rekordzeit.

„Unserem Kunden war aufgefallen, dass einige wichtige E-Mails aus einem cloud-basierten E-Mail-Konto fehlten. Mit Cellebrite MacQuisition erstellten wir ein Abbild des MacBooks, auf dem die E-Mails lokal gespeichert waren. Dank Cellebrite BlackLight konnten wir diese fehlenden E-Mails dann schnell identifizieren und abrufen.“ – Balal Abouelenein, Digital Forensic Analyst, Contact Discovery Services

Funktionen von Cellebrite BlackLight

Die Computerforensik-Software Cellebrite BlackLight ermöglicht Digital-Forensikern eine schnelle Analyse von Computerdatenträgern und mobilen Geräten, um Licht in Benutzeraktionen zu bringen. Mit der Lösung können Ermittler problemlos große Datensätze durchsuchen, filtern und sichten, um intelligente, umfassende Analysen von Daten durchzuführen, die entweder von Mac- oder Windows-basierten Computern erzeugt wurden.

Mac-Unterstützung

  • Eine unübertroffen intuitive Benutzeroberfläche
  • Unterstützt die neuesten Systeme, darunter T2-Chipsätze
  • Unterstützung für Fusion- und verschlüsselte Geräte
  • Überprüfen des Verlaufs von APFS-Snapshots und Time-Machine-Backups
  • Anzeigen und Suchen von Spotlight-Metadaten
  • Überprüfen von Netzwerkverbindungen, aktuellen Dokumenten und Benutzeraktivitäten

Windows-Unterstützung

  • Das vertrauenswürdige Tool für intelligente Analysen
  • Überprüfen der Gerätehistorie von Microsoft Volume
  • Shadow-Kopien
  • Integrierte Analyse des Windows-Speichers und der Windows-Registry
  • Automatisches Parsen von Kontoinformationen, aktuellen Dokumenten, Downloads, Papierkorb und USB-Verbindungen

Cellebrite BlackLight ist jetzt Teil der Cellebrite-Familie

Mit der jüngst erfolgten Übernahme von BlackBag (der Muttergesellschaft von Cellebrite BlackLight) erweitert Cellebrite seine Unterstützung digitaler Quellen und ermöglicht die Einbeziehung von Computerdaten in den Ermittlungsablauf.

In seiner branchenweit einzigartigen Plattform für Zugriff, Verwaltung und Analyse digitaler Daten aus verschiedenen Quellen bündelt Cellebrite alle wichtigen Aspekte der digitalen Ermittlungsarbeit.

Durch den Einsatz der kombinierten Lösungen des Unternehmens können Behördenleiter nun:

  • Den Datenzugriff für Mac- und Windows-basierte Plattformen unterstützen
  • Die Live-Datenerfassung vereinfachen
  • Geräte vor der Extraktion sichten
  • Selektive Datenextraktionen durchführen

Die Aufnahme von Cellebrite BlackLight in das Digital-Intelligence-Lösungsportfolio von Cellebrite trägt dazu bei, dass Cellebrite seinen Kunden heute und auch in Zukunft die besten Tools bieten kann.

Wichtigste Erkenntnisse:

  • Cellebrite MacQuisition wurde für die Erstellung eines forensisch einwandfreien MacBook-Images verwendet.

  • Die vom Forensikexperten bisher verwendeten Tools und Verfahren konnten die verschwundenen E-Mails nicht lokalisieren.

  • Cellebrite BlackLight hat die auf dem MacBook gespeicherten E-Mail-Dateien automatisch verarbeitet und im Tab Kommunikation angezeigt.

  • Der Analyst hatte keine Erfahrung bei der Überprüfung von Mac-Systemen und auch nicht in der Anwendung von Cellebrite BlackLight. Trotzdem konnte er die E-Mails dank der intuitiven Benutzeroberfläche schnell finden.

Wie die Computerzugriffs- und Analyselösungen von Cellebrite Ihrer Behörde helfen können, erfahren Sie hier.

Diesen Beitrag teilen