Digitale forensica bij militaire cyberincidentrespons

Digitale forensica in de context van militaire cyberincidentrespons verschilt fundamenteel van commerciële incidentrespons. De verschillen zijn niet primair technisch — dezelfde forensische principes en veel van dezelfde tools zijn van toepassing — maar procedureel, juridisch en operationeel. Bewijs dat wordt verzameld van geclassificeerde systemen moet tijdens het hele onderzoek als geclassificeerd materiaal worden behandeld. De bewijsketting voor forensisch bewijs moet voldoen aan zowel de vereisten voor veiligheidsclassificatie als aan juridische bewijsnormen als het onderzoek kan leiden tot vervolging of inlichtingentoeschrijving. En het onderzoek moet vaak voortgaan zonder actieve operaties te verstoren — een gecompromitteerd systeem dat een actieve missie ondersteunt, kan niet eenvoudig offline worden gehaald voor forensische imaging.

Dit artikel behandelt de beperkingen die militaire forensische onderzoeken vormgeven, de technische benaderingen voor live forensica en geheugenanalyse, de tools en technieken voor tijdlijnreconstructie, en hoe forensisch bewijs bijdraagt aan de toeschrijving van dreigingsactoren via het MITRE ATT&CK-raamwerk.

Militaire forensische beperkingen: classificatie en bewijsketting

De meest fundamentele beperking in militaire forensica is classificatie. Een forensisch image van een harde schijf van een werkstation op een GEHEIM-netwerk is zelf een GEHEIM-artefact. Het moet worden opgeslagen op GEHEIM-gecertificeerde media, worden behandeld door personeel met de juiste veiligheidsmachtiging, alleen worden verzonden via goedgekeurde kanalen, en uiteindelijk worden vernietigd overeenkomstig de vereisten voor classificatievernietiging. Deze beperking is van invloed op elk aspect van de forensische workflow: het werkstation waar de analyse wordt uitgevoerd, moet gecertificeerd zijn voor het classificatieniveau van het bewijs; de forensische analysesoftware moet zijn goedgekeurd voor gebruik op geclassificeerde systemen; en forensische rapporten moeten worden geschreven en behandeld op het juiste classificatieniveau.

Vereisten voor de bewijsketting betekenen dat elke behandeling van forensisch bewijs moet worden gedocumenteerd: wie het heeft verzameld, wanneer, met welke tools en procedures, wie het heeft ontvangen, hoe het is opgeslagen, en wie er daarna toegang toe heeft gehad. In een commerciële incidentresponscontext is de bewijsketting primair belangrijk voor rechtszaken. In een militaire context is het om meerdere redenen belangrijk: mogelijke strafrechtelijke vervolging (van insiderdreigingen of staatsgesponsorde actoren waarbij vervolging wordt nagestreefd), contraspionageprocedures, en toeschrijvingsrapportage aan commandoautoriteiten die het bewijs zullen gebruiken om operationele beslissingen te onderbouwen.

Het juridische kader voor militaire digitale forensica werkt onder militaire justitiestatuten (UCMJ in de Amerikaanse DoD-context) evenals Title 10- en Title 50-bevoegdheden die offensieve cyberoperaties en inlichtingenactiviteiten regelen. De juridische bevoegdheid waaronder een forensisch onderzoek wordt uitgevoerd, bepaalt welke methoden voor bewijsverzameling zijn toegestaan en waarvoor het bewijs kan worden gebruikt — deze onderscheidingen moeten door het forensische team worden begrepen en nageleefd.

Bewijs verzamelen zonder operaties te verstoren: live forensica versus snapshot

De traditionele forensische aanpak — systeem uitschakelen, schijf imagem, image analyseren — is in veel scenario's onverenigbaar met militaire operationele vereisten. Een commandoserver die actief een lopende operatie coördineert, kan niet worden uitgeschakeld. Een kritieke communicatieverbinding die mogelijk is gecompromitteerd, kan niet offline worden gehaald terwijl deze een missie ondersteunt. Militaire forensica vereist de mogelijkheid om bewijs te verzamelen van live systemen zonder hun operationele functie te verstoren.

Live forensica omvat het verzamelen van vluchtige gegevens van een actief systeem voordat het wordt uitgeschakeld of geïsoleerd. Vluchtige gegevens — RAM-inhoud, actieve processen, open netwerkverbindingen, geladen kernelmodules, ingelogde gebruikers, klembordinhoud — verdwijnen wanneer de stroom wordt verwijderd. Voor veel geavanceerde aanvallen bestaat het meest waardevolle forensische bewijs alleen in het geheugen: bestandsloze malware die nooit naar schijf schrijft, versleutelde command-and-control-kanalen die alleen in het geheugen zichtbaar zijn, versleutelingssleutels die permanente gegevensopslag ontgrendelen. Live forensica legt dit bewijs vast voordat het verloren gaat.

De standaard live forensische verzamelingsvolgorde volgt de volgorde van vluchtigheid: RAM eerst (meest vluchtig — seconden tot minuten), dan netwerkverbindingen en routeringstabellen, dan actieve processen en geopende bestanden, dan systeemconfiguratie en authenticatiestatus, dan schijfartefacten. Deze volgorde zorgt ervoor dat het meest vluchtige bewijs wordt vastgelegd voordat verdere onderzoeksactiviteiten het verstoren.

Externe live forensica breidt deze aanpak uit om bewijs te verzamelen zonder fysieke toegang tot het systeem: forensische agents die via EDR-platforms worden ingezet, kunnen op afstand vluchtige gegevens verzamelen, waardoor forensische verzameling mogelijk is van systemen die fysiek ontoegankelijk of operationeel kritiek zijn. Voor air-gapped geclassificeerde omgevingen waar commerciële EDR-agents mogelijk niet zijn goedgekeurd, moet equivalente verzameling worden uitgevoerd door een analist met veiligheidsmachtiging die fysieke of externe beheertoegang tot het systeem heeft.

Geheugenforensica: Volatility in geclassificeerde omgevingen

Het Volatility Framework is het industriestandaard open-source gereedschap voor geheugenforensica. Het analyseert RAM-dumps (verkregen via live forensische tools zoals DumpIt, WinPmem of AVML op Linux) om de toestand van een systeem op het moment van verzameling te reconstrueren: actieve processen (inclusief processen die zich verborgen hielden voor de procestabel via rootkit-technieken), geladen kernelmodules, netwerkverbindingen, registerstructuren geladen in het geheugen, recent uitgevoerde opdrachten en artefacten van malware-uitvoering.

Technieken voor geheugenverwerving in geclassificeerde omgevingen moeten zijn goedgekeurd voor het classificatieniveau van het doelsysteem. Fysieke geheugenverwervinsgtools die werken via de eigen geheugentoegangssinterfaces van het besturingssysteem (zoals /proc/mem op Linux of WinPmem op Windows) zijn over het algemeen minder ingrijpend en waarschijnlijker goedkeurbaar dan technieken die het laden van kerneldrivers vereisen. Voor de hoogste classificatieniveaus kunnen geheugenverwervinsprocedures worden gespecificeerd in het beveiligingsplan van het systeem en moeten exact worden gevolgd.

Sleutel Volatility-plug-ins voor militaire incidentrespons zijn: pstree en psscan (actieve processen opsommen en verborgen processen detecteren), netscan (netwerkverbindingen opsommen en verbindingen detecteren die waren gesloten maar nog in het geheugen staan), malfind (geïnjecteerde code in procesgeheugenruimte detecteren), dlllist en ldrmodules (geladen DLL's opsommen en DLL-kaping detecteren), en cmdline/cmdscan/consoles (opdrachtuitvoeringsgeschiedenis herstellen van consoleprocessen).

Tijdlijnreconstructie: logboeken en netwerkstromen correleren

Tijdlijnreconstructie bouwt een chronologische registratie van aanvallersactiviteit op vanaf het moment van eerste toegang tot het punt van detectie. Het correleert bewijs uit meerdere bronnen: Windows Event Logs, Linux auditd, bestandssysteemmetadata (tijdstempels voor aanmaken, wijzigen, benaderen), netwerkstroomrecords (Zeek/Bro-logboeken, NetFlow), proxylogboeken en geheugenforensische bevindingen.

Analyse van Windows Event Log is de kern van tijdlijnreconstructie op Windows-systemen. Sleutel event-ID's voor reconstructie van de aanvalstijdlijn zijn: 4624/4625 (geslaagde/mislukte aanmelding), 4688 (procescreatie — vereist auditbeleid dat opdrachtregelregistratie inschakelt), 4698/4702 (aanmaken/wijzigen van geplande taak), 7045 (nieuwe service geïnstalleerd), 1102 (auditlog gewist — zelf een indicator van anti-forensica-activiteit van de aanvaller), en 4720/4722/4726 (gebruikersaccount aanmaken, activeren en verwijderen).

Linux auditd biedt equivalente logging op Linux-systemen wanneer correct geconfigureerd. De sleutel auditregels voor reconstructie van de aanvalstijdlijn registreren uitvoeringen van gevoelige opdrachten (id, whoami, passwd, su, sudo), bestandswijzigingen in gevoelige mappen (/etc, /bin, /sbin), pogingen tot netwerkverbinding vanuit onverwachte processen, en privileges-wijzigingen (setuid/setgid-operaties).

Zeek (voorheen Bro) netwerkanalyseraamwerk verwerkt pakketopnames of live netwerkverkeer en produceert gestructureerde logbestanden die HTTP-transacties, DNS-queries, TLS-verbindingen (inclusief certificaatmetadata), SSH-verbindingen en gedetecteerde protocolovertredingen omvatten. Zeek-logboeken maken tijdlijnreconstructie van het netwerk mogelijk — het koppelen van aanvallersactiviteit bij laterale beweging afgeleid uit endpointlogboeken aan netwerkcomm unicatierecords om een gecorroboreerde tijdlijn te bouwen.

Toeschrijvingsanalyse met MITRE ATT&CK Navigator

Toeschrijving — het verbinden van een specifiek incident aan een specifieke dreigingsactor — vereist convergentie over meerdere soorten bewijs. Digitaal forensisch bewijs van één incident levert TTP-bewijs: de specifieke technieken die de aanvaller gebruikte, de tools die ze inzetten, de infrastructuur die ze gebruikten voor command and control. Wanneer deze TTP's worden vergeleken met bekende acteurprofielen, kan toeschrijvingsinferentie worden gemaakt.

De MITRE ATT&CK Navigator is een webapplicatie waarmee analisten techniekdekking op de ATT&CK-matrix kunnen visualiseren en technieken kunnen annoteren met bewijs uit een specifiek onderzoek. De analist koppelt elke forensisch waargenomen techniek aan het bijbehorende ATT&CK-ID, waardoor een visuele "heatmap" van het gedrag van de aanvaller wordt gecreëerd. Deze heatmap wordt vervolgens vergeleken met gepubliceerde profielen van bekende dreigingsgroepen — als de waargenomen techniekset nauw overeenkomt met het profiel van een bekende actor, vormt dit een toeschrijvingsindicator.

Toeschrijving heeft in een militaire context operationele betekenis die verder gaat dan het onderzoekende: toeschrijving aan een specifieke staatsgesponsorde actor informeert de beslissing van de commandoautoriteit over hoe te reageren, welke inlichtingen te delen met partners, en welke contraspionageacties te ondernemen. Forensisch bewijs dat toeschrijving ondersteunt, moet worden gedocumenteerd met voldoende nauwkeurigheid om op het niveau van de commandoautoriteit standvastig te zijn — informele observaties zijn onvoldoende; de bewijsketen van forensische artefacten naar toeschrijvingsbeoordeling moet duidelijk worden gedocumenteerd en verdedigbaar zijn.