Kategorie: Blue Teaming
-
Velociraptor: Ein kraftvolles Werkzeug für Endpoint Forensik und Incident Response
In Zeiten wachsender Cyber-Bedrohungen, zunehmender Komplexität von Angriffen und ständigem Wandel in der IT-Landschaft steigt der Bedarf an Tools, die nicht nur reaktiv Angriffe untersuchen können, sondern auch proaktiv Überwachung und Hunt-Funktionalitäten bieten. Velociraptor gehört zu diesen Tools – es ist ein Open-Source-Framework, das Digital Forensics, Incident Response (DFIR) und Threat Hunting über Endpunkte hinweg…
-
Volatility: Das Standardwerkzeug für Speicherforensik
Einleitung Digitale Forensik ist heute ein unverzichtbarer Bestandteil der IT-Sicherheit. Während Festplattenabbilder und Logdateien wichtige Informationen liefern, gibt es eine Datenquelle, die oft unterschätzt wird: der Arbeitsspeicher (RAM). Genau hier setzt Volatility an – ein Open-Source-Framework, das sich auf die Analyse von Speicherabbildern spezialisiert hat. In diesem Beitrag schauen wir uns an, was Volatility ist,…
-
strings für Windows & Linux — kleines Werkzeug, große Wirkung
strings ist eines dieser kleinen Tools, die in der täglichen Malware-Analyse und Incident Response unglaublich oft zum Einsatz kommen. Es macht genau das, was der Name verspricht: es extrahiert lesbare Textsequenzen aus Binärdateien. Auf den ersten Blick wirkt das simpel — aber richtig angewendet liefert strings schnelle, teils entscheidende Hinweise darauf, ob eine Datei bösartige…
-
Dateiendungen, Magic Bytes & Tarnung – warum ein .jpg auch eine .exe sein kann
Einleitung Im Alltag klicken wir Dateien meist blind an: Ein Anhang mit .jpg-Endung? Klingt nach einem Bild. Eine .pdf? Sicher ein Dokument. Doch Cyberkriminelle nutzen genau diesen Vertrauensreflex aus.Denn: Eine Dateiendung ist nur ein Etikett.Die eigentliche Wahrheit über den Dateityp steckt im sogenannten Dateikopf – genauer gesagt in den Magic Bytes, also bestimmten Hexwerten am…
-
VirusTotal – ein Blick hinter die Kulissen des beliebtesten Malware-Scanners
Wenn in der IT-Security eine verdächtige Datei oder ein merkwürdiger Link auftaucht, ist oft der erste Gedanke: „Mal schnell bei VirusTotal prüfen.“ Kaum ein anderes Werkzeug ist so bekannt und gleichzeitig so unterschätzt. Viele sehen nur das Ergebnisfeld mit den „Treffern der AV-Engines“. Doch VirusTotal ist viel mehr – und kann, richtig eingesetzt, ein mächtiges…
-
Fail2Ban: Dein kleiner Wächter gegen Brute-Force Angriffe
Was ist fail2ban? fail2ban ist ein kleines, aber mächtiges Tool, das Logdateien nach fehlgeschlagenen Login-Versuchen (oder anderen verdächtigen Mustern) durchsucht und die verantwortlichen IP-Adressen automatisiert per Firewall (z. B. iptables/nftables oder firewalld) sperrt. Ideal gegen Brute-Force-Angriffe auf SSH, FTP, Web-Admin-Schnittstellen u.ä. Wie funktioniert es? Warum du fail2ban einsetzen solltest Schnellstart — Installation (Debian/Ubuntu & CentOS/RHEL)…
-
Auth.log analysieren mit dem Linux-Terminal
Wenn jemand versucht, auf deinen Server zuzugreifen, hinterlässt das Spuren – meistens in /var/log/auth.log.Mit ein paar klassischen Terminal-Befehlen kannst du diese Logdateien direkt auswerten, ohne Python, R oder ein SIEM-System. 1. Einen Blick ins Log werfen Das Authentifizierungs-Log liegt hier: Typische Einträge für fehlgeschlagene SSH-Logins sehen so aus: 2. Anzahl fehlgeschlagener Login-Versuche Wie viele Login-Fehler…
-
Snort verstehen: Open-Source-Netzwerksicherheit im Überblick
In modernen IT-Umgebungen ist die Überwachung des Netzwerkverkehrs entscheidend, um Sicherheitsvorfälle frühzeitig zu erkennen und zu verhindern. Snort ist eines der bekanntesten Open-Source-Tools in diesem Bereich und wird seit über zwei Jahrzehnten in Unternehmen, Forschungseinrichtungen und Homelabs eingesetzt. Was ist Snort? Snort ist ein Netzwerk-Intrusion-Detection-System (NIDS) und kann auch als Intrusion-Prevention-System (IPS) betrieben werden. Es…