Strukturierung und Visualisierung von protokollierten Ereignissen zur Unterstützung der Analyse lateraler Bewegung

Maximilian-Matthias Brokamp

Kurzfassung

Gezielte Cyberangriffe stellen heutzutage für Organisationen jeder Art eine zunehmende Bedrohung dar. Eine kritische Phase dieser Angriffe stellt die laterale Bewegung dar. Während dieser Phase versuchen Angreifer Zugriff auf weitere IT-Geräte in einem bereits kompromittierten Netzwerk zu erlangen. Diese Arbeit befasst sich mit der häufig komplexen und zeitaufwendigen IT-forensischen Analyse lateraler Bewegung, in Windows-Domänen. Es wird untersucht, wie Windows Ereignisprotokolle genutzt werden können, um Nutzeraktionen innerhalb eines Netzwerkes nachzuvollziehen. Auf Basis der gewonnenen Erkenntnisse, wird eine Anwendung entwickelt, welche Anmeldevorgänge automatisch rekonstruiert und diese in Form eines Graphen visuell aufbereitet.

Schlagwörter: Digitale Forensik, laterale Bewegung, Windows Authentifizierung, Windows Ereignisprotokolle, Datenvisualisierung

Abstract

Today, targeted cyberattacks pose an increasing threat to organizations of all types. A critical phase of these attacks is lateral movement. During this phase, attackers attempt to gain access to additional IT devices on an already compromised network. This thesis addresses the often complex and time-consuming IT forensic analysis of lateral movement, in Windows domains. It examines how Windows event logs can be used to trace user actions within a network. Based on the findings, an application is developed that automatically reconstructs logon events and visually displays them in the form of a graph.

Keywords: Digital Forensics, lateral movement, Windows authentication, Windows event log, Data visualization