Digitale sporen steeds belangrijker voor forensisch onderzoek

In het forensisch onderzoek naar de recente cyberaanval op de Universiteit Maastricht (UM) zijn honderdduizenden digitale sporen in uiteenlopende logbestanden van netwerken en Windows computers doorzocht. Onderzoekers waren op 24 december ter plaatse en begonnen met hun onderzoek. Aan de hand van oude logs stelden onderzoekers vast dat op 15 oktober de eerste phishing e-mail is geopend met een link naar een Excel-document met daarin een macro die malware ophaalt van een extern adres en vervolgens uitvoert.

Op 16 oktober zijn nog meer phishing e-mails ontvangen en is de aanvaller voor het eerst zelf actief. Van 17-24 oktober lukt het de aanvaller om lokale administrator-rechten te verkrijgen op meerdere servers. Op 21 november, slaagt de aanvaller erin om domein administrator-rechten te verkrijgen. Er wordt indirect forensisch bewijs gevonden waaruit kan worden afgeleid dat vermoedelijk de aanvaller het wachtwoord van dit account verkregen heeft door het geheugen te analyseren van een server waarop legitieme domeinbeheerders zijn ingelogd.

Vanaf dat moment brengt de aanvaller het hele netwerk in kaart en treft voorbereidingen. Op 23 december start de ransomware aanval. Tot zover zijn de digitale sporen voornamelijk gevonden in logbestanden van het netwerk en van Windows events. Forensisch onderzoekers vinden nog relatief verse sporen van de uitrol van de ransomware. Vaak gaat het dan om het zoeken naar sporen van bestanden en programma’s die niet meer aanwezig zijn in het systeem. Mits niet te oud kunnen zulke sporen worden gevonden in uiteenlopende Windows cachebestanden.

Scenario's toetsen met data science

Met de aanhoudende groei van het IoT en ICT-netwerken komen meer data voorhanden die als digitale sporen kunnen dienen. De zoektocht naar het juiste digitale spoor vereist daardoor de inzet van data science en datavisualisatie om scenario’s te toetsen of aan te vullen. Soms moeten experts, indien het delict zich letterlijk onzichtbaar heeft afgespeeld in cyberspace, een scenario opstellen aan de hand van uitsluitend digitale sporen. De kennis die ze daarbij opdoen is bijzonder waardevol om vervolgens organisaties die per seconde tienduizenden alerts krijgen, zoals de UM, in real-time te kunnen beschermen.

In dit geval is aan de hand van digitaal forensisch onderzoek duidelijk geworden hoe cybercriminelen een deel van de data van de UM gegijzeld hebben. Uit de digitale sporen blijkt niet alleen informatie over de bron (wie), maar blijkt ook welke activiteiten (wat), waar (locatie) en wanneer (tijd)  zijn uitgevoerd. Daarmee kan het complete aanvalsscenario gereconstrueerd worden. In dat opzicht verschillen digitale sporen van fysieke sporen waarbij het lastiger is om bewijs te leveren op activiteitniveau.

De bron zijn van een spoor is niet strafbaar, maar de handelingen waarmee dat gepaard ging mogelijk wel. Daarmee zijn vragen naar die handelingen (op activiteitniveau) voor de overwegingen van de rechtbank relevanter dan vragen naar de bron (op bronniveau). Daarom spelen digitale sporen uit smartphones en computers tegenwoordig een belangrijke rol in rechterlijke uitspraken over niet digitale misdrijven. Bekende voorbeelden zijn de moord op Koen Everink en  de moord op de Bûterwei.

Meer voorbeelden en uitleg over de betekenis van digitale sporen komen aan de orde op het 11de E-Discovery symposium op 17 maart bij Hogeschool Leiden (www.hsleiden.nl/digital-forensics/agenda/symposium/e-discovery-2020).