Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Hilfe bei der Vorfallsreaktion

Speicherforensik

Hilfe bei der Vorfallsreaktion

10. Januar 2022, 12:00 Uhr | Michael Scheffler/wg
Fortsetzung des Artikels von Teil 1

Wonach man suchen sollte

Malware kann sich zwar sehr gut verstecken, aber um wirksam zu sein, muss sie dennoch laufen. Schadsoftware versteckt sich an Orten, zu denen ein Benutzer vielleicht nicht navigiert, aber wenn sie ausgeführt wird, läuft auf dem Gerät ein Prozess für die Malware. Der einfachste Weg, nach Malware zu suchen, besteht also darin, sich die laufenden Prozesse auf einem Gerät genau anzuschauen. Man sollte also in den Prozesslisten nach Prozessnamen suchen, die man nicht kennt. Zu diesen kann man dann eine Suchmaschine befragen und so möglicherweise wertvolle Hinweise erhalten. Ein weiterer guter Ausgangspunkt ist die Betrachtung von Prozessbäumen. Man sollte sich ansehen, welche Prozesse erstellt wurden und welches die übergeordneten Prozesse sind. Handelt es sich dabei um die zu erwartende Aktivität?

Ein guter Tipp ist es, sich Prozesse mit legitimen Windows-Namen wie „svchost.exe“ näher anzusehen. Windows-Systemprozesse haben immer festgelegte übergeordnete Prozesse und Ausführungsorte. Findet man einen Prozess, der von einem unüblichen und unerwarteten Ort aus ausgeführt wird, ist es sinnvoll, ihn genauer zu untersuchen. Schließlich sollte das Untersuchungsteam  auch noch die Netzwerkverbindungen überprüfen. Gibt es irgendwelche ungewöhnlichen Ports, mit denen eine Verbindung hergestellt ist? Hier ist insbesondere auf sogenannte „Pokerhände“ zu achten, also Ports mit denselben Ziffern wie „4444“ oder Reihen wie „1234“. Denn dies sind Zahlenkombinationen, die Angreifer oft nutzen.

Speicherforensik ist ein wirkungsvolles Werkzeug im Arsenal zur Reaktion auf Vorfälle. Gerade wenn es um eine schnelle Einordnung geht, ist die Möglichkeit, eine vmem-Datei abzurufen und eine Analyse durchzuführen, eine große Hilfe und eine gute Grundlage für weitere Schritte.

Michael Scheffler ist Country Manager DACH von Varonis Systems.

  1. Hilfe bei der Vorfallsreaktion
  2. Wonach man suchen sollte

Lesen Sie mehr zum Thema

Varonis Daten-Analyse CANCOM a+d IT Solutions GmbH Logicalis GmbH CPN

Das könnte Sie auch interessieren

Manipulation intelligenter Systeme

Cyberagentur schreibt Projekt zur digitalen Forensik aus

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Varonis

Ausbau des Partnernetzwerks

Volker Sommer ist neuer DACH- und Europachef bei Varonis

Varonis: Mehr Schutz für Snowflake

Data Warehouses und Datenbanken absichern

Wandel der Cyber-Sicherheit

Varonis: Maßnahmen noch ungenügend

Ausblick: Cybersecurity 2024

Drei Prognosen und ein Déjà-vu

Varonis stellt Risiko-Management für…

Cloud-Angriffsfläche nachhaltig reduzieren

Weitere Artikel zu Daten-Analyse

Embraceable AI

Die nachvollziehbare KI

Mehr Leistung und neue Strukturierung

Consulting4IT verbessert Analyse Depot

Redgate Database Landscape Report

Unternehmen setzen auf mehrere Datenbankplattformen

Datenanalyse

Mit People Analytics das Organisationsdesign neu gedacht

Simulated Annealing

Weniger Stop-and-go auf deutschen Datenautobahnen

Weitere Artikel zu CANCOM a+d IT Solutions GmbH

Cancom Cyber Security Report 2024

Mehr Ransomware und Supply-Chain-Angriffe

Einheitlicher DACH-Auftritt

Aus K-Businesscom wird Cancom Austria

Fokus auf die Softwareentwicklung

DextraData übergibt IT Consulting & Services-Geschäft an Cancom

Ines Wolf von Quantum über nachhaltigere…

Stromsparen im Rechenzentrum

Cancom Financial Services GmbH

Cancom und Mercator-Leasing gründen Finanzierungsgesellschaft

Weitere Artikel zu Logicalis GmbH

Nozomi Networks präsentiert Vantage IQ

KI-gestützte Automatisierungslösung für Cybersecurity-Analyse

Logicalis Global CIO Report 2023

CIOs in der Vorstandsetage gefragt

Private 5G-Netze

Vom Use Case her denken

Proofpoint erweitert Threat Protection Platform

Betrugserkennung durch Verhaltensanalytik

Allegro Packets: Firmware-Release 3.5 für…

TCP-Analyse auf Paketebene

Weitere Artikel zu CPN

Klare Trendwende noch nicht in Sicht

Byteclub-Firmen starten stabil ins Jahr 2025

Aufbereitete Hardware der Marke TecXL

CPN erweitert Refurbished-Sortiment

Zugangs- und Authentisierungslösungen

CPN und Reiner SCT kooperieren

Mittelständische Kunden müssen sparen

Wie hart trifft der Abschwung die IT-Branche?

Risikobewertung und -priorisierung

Cyberrisiken proaktiv erkennen und mindern

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
NFON AG

NFON AG
Securepoint GmbH

Securepoint GmbH
Riello UPS GmbH

Riello UPS GmbH
nexspace data centers GmbH

nexspace data centers GmbH