Computer-Forensik: Analyse von Angriffen

E-Mail-Analyse

Ein konkretes Beispiel verdeutlicht dieses Verfahren und die Möglichkeiten und Grenzen der forensischen Analyse (Namen sind anonymisiert). Ein Firmenkunde betreibt neben seinem Mutterhaus mit der Internet-Domain Domain1.com eine Filiale im Ausland mit einer eigenen Domain Domain2.com. Zwischen beiden findet ein intensiver E-Mail-Austausch statt. Benutzer2 aus der Domain2 erhält nun regelmäßig korrekte E-Mails von Benutzer1 aus Domain1. In diesem E-Mail-Verkehr tauchen nun auch E-Mails auf, die (vom Virenscanner erkannte und entfernte) Anhänge mit Virenbefall aufweisen. Für den Benutzer sind diese hinsichtlich der Adressierung nicht von einer regulären E-Mail zu unterscheiden.

Der Unterschied zwischen den Headern wird schnell deutlich. Zum einen ist der Weg der E-Mail von Absender zu Empfänger wesentlich ausführlicher dokumentiert und zum anderen lassen sich die genutzten SMTP-Server auch identifizieren. Hinter der Ready-Meldung des SMTP-Servers helo=mailc0910.dte2k.de findet sich bei entsprechender Rückverfolgung tatsächlich ein Mailserver der Telekom, bei der Domain1 gehosted wird. Das angebliche Prompt helo=kresin-nw3pifbk.com verweist hingegen auf keine real existierte Domain (Ergebnis eines Whois-Abfrage).