← Terug naar alle modules
Advanced MODULE 16 ⏱️ 3-4 uur

Forensics & IR

Als het noodlot toeslaat en je netwerk gehackt is, bellen ze jou. Hoe vind je uit wie wat heeft gedaan, en hoe stop je de bloeding?

Jouw voortgang: 0%

1. Incident Response (IR)

Incident Response is het georganiseerde proces om in actie te komen als er een cyberaanval (het "incident") gaande is. Dit is geen wilde paniek, maar een stappenplan. Een klassiek framework (zoals dat van SANS of NIST) kent 6 stappen:

  1. Preparation (Voorbereiding): Het hebben van procedures, back-ups en een getraind team, vóórdat het misgaat.
  2. Identification (Identificatie): Herkennen dat er daadwerkelijk een hack of malware-infectie gaande is.
  3. Containment (Indamming): Het stoppen van de bloeding. Bijvoorbeeld: de geïnfecteerde servers fysiek loskoppelen van het netwerk zodat een worm zich niet verder verspreidt.
  4. Eradication (Verwijdering): De malware, gehackte accounts of achterdeuren van de hacker compleet van het systeem verwijderen.
  5. Recovery (Herstel): Servers opnieuw opbouwen (vanaf schone back-ups) en het netwerk weer veilig live brengen.
  6. Lessons Learned (Evaluatie): Achteraf bespreken: hoe kwam de hacker binnen en hoe zorgen we dat dit nooit meer gebeurt?

2. Digital Forensics (Digitaal Forensisch Onderzoek)

Tijdens het indammen en evalueren van de aanval moet je uitzoeken wat er is gebeurd. Dit heet Digital Forensics, oftewel de digitale recherche.

Je zoekt naar IOC's (Indicators of Compromise). Dit zijn sporen die de hacker heeft achtergelaten. Bijvoorbeeld:

  • Een plotseling verborgen bestand genaamd .backdoor.sh.
  • Verkeer in de firewall logs naar een IP-adres in Rusland.
  • Een Windows Admin-account ("BackupAdmin") dat vannacht om 04:00 is aangemaakt.

3. Order of Volatility

Als je onderzoek doet, is de allerbelangrijkste regel: Bewaar het meest vluchtige bewijs als eerste. Wat als je een gehackte computer gewoon uittrekt (van de stroom haalt) om hem veilig te stellen?

Fout! Als je de stroom eraf haalt, wis je direct al het RAM (werkgeheugen). Geavanceerde malware (zoals Meterpreter) draait alléén in het RAM en laat de harde schijf met rust. Als je de stroom eraf trekt, is de malware vernietigd en heb je geen bewijs!

Daarom maak je altijd eerst een "Memory Dump" (een kopie van het RAM-geheugen), pas daarná kijk je naar netwerkverbindingen, processen en uiteindelijk maak je een kopie van de vaste harde schijf (Disk Imaging).

4. Volatility Framework (Tooling)

Hoe onderzoek je zo'n "Memory Dump" (bijvoorbeeld een bestand van 16GB dat exact de staat van het RAM bevatte)? Pentesters en Forensisch onderzoekers gebruiken hiervoor Volatility.

Volatility is een command-line tool. Je laadt de dump in, en je kunt commando's typen zoals:

  • volatility -f geheugen.dump windows.pslist (Laat alle programma's zien die op dat moment draaiden)
  • volatility -f geheugen.dump windows.netscan (Laat alle actieve netwerkverbindingen van dat moment zien)

Via deze lijst kun je erachter komen dat een programma met een valse naam (bijv. svchost.exe, een normaal Windows bestand) eigenlijk verbinding aan het maken was met een hackers-server!

📝 Kennis Test

Vraag 1 van 3