Die Gegenüberstellung einer forensischen Online- und Offline-Datenanalyse anhand der Schadsoftware Winnti, Michelle Jansen

Michelle Jansen

Kurzfassung

Diese Arbeit thematisiert die Gegenüberstellung einer forensischen Online- und Offline-Datenanalyse anhand der Schadsoftware Winnti. Die Schadsoftware wird über eine nicht-kommerzielle automatisierte Redmimicry-Emulation untersucht. Die Analysen erfolgen in einer virtualisierten Umgebung. Anhand der Analysen werden, die von der Winnti Schadsoftware genutzten Methoden zur Einnistung und Weiterverbreitung in einem Netzwerk, aufgezeigt. Die genannten Analysewege werden miteinander verglichen und die Analyseergebnisse evaluiert. Durch die Herausarbeitung von Vor- und Nachteilen soll abschließend der zu präferierende Analyseansatz für die Behandlung Cyber-Angriffen durch die Schadsoftware Winnti festgestellt werden. Zudem werden die rechtlichen Voraussetzungen, die während einer Analyse zu beachten sind, aufgeführt und auf die Online- und Offline-Analyse angewendet. Außerdem wird der Konflikt zwischen Gerichtsverwertbarkeit und Reaktionsschnelligkeit aufgegriffen.

Schlagwörter: IT-Forensik, Online-Analyse, Offline-Analyse, Live Response, Post Mortem, Winnti, Redmimicry

Abstract

This bachelor thesis addresses the comparison of online and offline forensic data analysis using the Winnti malware. The malware is analyzed using a non-commercial automated Redmimicry emulation. The analyses are performed in a virtualized environment. Based on the analyses, the methods used by the Winnti malware to nest and propagate in a network are revealed. The mentioned analysis methods are compared with each other and the analysis results are evaluated. Finally, by elaborating advantages and disadvantages, the analysis approach to be preferred for handling cyber-attacks by the Winnti malware will be determined. In addition, the legal requirements to be considered during an analysis will be listed and applied to online and offline analysis. In conclusion, the conflict between court usability and speed of response will be addressed.

Keywords: IT forensics, Online analysis, Offline analysis, Live Response, Post Mortem, Winnti, Redmimicry