In digitalen Unternehmenslandschaften wächst die Abhängigkeit von «Virtual Desktop Infrastructure (VDI)»-Plattformen. Während einige Umgebungen auf nicht-persistente Sitzungen mit Golden-Image-Wiederherstellung setzen, speichern andere Benutzerdaten dauerhaft in VHDX-Dateien (Virtual Hard Disk v2) auf Remote-Servern – ein entscheidender Unterschied für die forensische Analyse.
Gerade in weitreichenden VDI-Umgebungen wie Citrix stellt diese Architektur einen Knackpunkt für Incident Response und Forensik und erschwert die Identifikation des initialen Angriffspunkts erheblich. VHDX-Dateien enthalten oft wertvolle forensische Artefakte wie NTUSER.DAT-Hives, welche Spuren der Programmausführung aufweisen können. Die manuelle Untersuchung wird jedoch bei mehreren tausend Benutzerprofilen ineffizient.
Die anschliessend präsentierte Methode zeigt, wie sich die forensische Analyse von VHDX-basierten Benutzerprofilen mit dem DFIR-Tool Velociraptor automatisieren lässt. Das Ziel: Forensische Untersuchungen effizient und zuverlässig zu skalieren, ohne die forensische Integrität zu beeinträchtigen.
VHDX ist ein Dateiformat, das eine virtuelle Festplatte repräsentiert und ein eigenes Partitionslayout sowie Dateisystem enthält. VHDX wird in VDI-Umgebungen häufig verwendet, um Benutzerdaten wie Roaming-Profil und NTUSER.DAT-Registry-Hive zu speichern.
Aus forensischer Sicht können VHDX-Dateien besonders wertvolle Artefakte enthalten, etwa Beweise für Programmausführungen über UserAssist sowie Persistenz-Mechanismen über Registry-Run-Keys, welche beide normalerweise in der NTUSER.DAT zu finden sind.
VDI-Plattformen speichern oft den Inhalt von «C:\Users<Username>\» in einer eigenen VHDX-Datei, wobei jedes Benutzerprofil als eigenständiges virtuelles Festplattenabbild betrachtet wird.
Velociraptor ist ein modernes, quelloffenes DFIR-Tool, das von zahlreichen Unternehmen verwendet wird, um Bedrohungen zu identifizieren, Artefakte zu sammeln und skalierbare Untersuchungen in grossen Unternehmensumgebungen durchzuführen.
In einem früheren Beitrag, gehen wir darauf ein, wie Velociraptor Artefakte erstellt und für die effiziente forensische Analyse eingesetzt wird.
Velociraptor unterstützt VHDX-Accessoren, die eine direkte Analyse von virtuellen Festplattenabbildungen ermöglichen. Dafür werden üblicherweise spezielle Artefakte für jeden Anwendungsfall benötigt, zum Beispiel für die Analyse von UserAssist oder Registry-Hives innerhalb einer gemounteten VHDX-Datei. Somit wäre für jede forensische Überprüfung ein spezifisches Artefakt nötig, das die VHDX-Struktur interpretieren kann.
Ein skalierbarerer Ansatz ist die Wiederverwendung existierender Velociraptor-Artefakte wie Windows.Registry.UserAssist oder Windows.Registry.NTUser ohne Anpassung.
Ziel dieser Forschung war es, genau dies zu ermöglichen: Die Verwendung nativer Artefakte bei der Analyse von in VHDX-basierten Benutzerprofilen gespeicherten Daten zu ermöglichen.
Dazu werden virtuelle Velociraptor-Clients genutzt: Instanzen, deren Umgebung auf eine bestimmte VHDX-Datei umgemappt ist und ähnlich wie Velociraptor im Deaddisk-Modus arbeitet. In diesem Beitrag nennen wir sie virtuelle Velociraptor-Clients.
Das Prinzip ist einfach: Ein virtueller Client läuft auf dem Dateiserver, auf dem die VHDX-Profile gespeichert werden, und seine Konfiguration wird so umgemappt, dass sie auf eine oder mehrere VHDX-Images zeigt. Dafür sind einige technische Schritte nötig, um eine zuverlässige Funktion zu gewährleisten.
«Wer VHDX-Analysen automatisiert, verschafft sich im Ernstfall den entscheidenden Zeitvorteil – und legt damit den Grundstein für eine erfolgreiche forensische Aufklärung.»
Vertiefen Sie Ihr technisches Know-how: Die ausführliche Schritt-für-Schritt-Anleitung in unserem «IG Labs»-Blog zeigt, wie Sie die technische Umsetzung meistern.
Alle Tests dieser Arbeit wurden bewusst an Offline-VHDX-Dateien durchgeführt, also an Profilen, die nicht mehr aktiv von Diensten wie Citrix oder Windows-Profilmanagement verwaltet werden, um die Datenintegrität und forensische Nachvollziehbarkeit sicherzustellen.
In Live-Umgebungen, in welchen VHDX-Profile noch im Einsatz oder gemountet sind, lohnt sich die Betrachtung der folgenden Risiken:
Empfehlungen für den sicheren Umgang mit VHDX-Profilen:
Die entwickelte VHDX-Artefaktsuite für Velociraptor eröffnet neue Dimensionen in der digitalen Forensik. Sie ermöglicht eine skalierbare und effiziente Untersuchung von Benutzerprofilen, die in VHDX-Dateien gespeichert sind – und das mit bewährten Standard-Artefakten wie UserAssist- oder NTUSER.DAT-Parsern, ganz ohne Anpassung.
In unseren Tests liessen sich über 1’000 VHDX-Profile in weniger als einer Minute analysieren – bei gleichbleibend hoher forensischer Integrität und deutlich reduziertem Aufwand gegenüber herkömmlichen Verfahren. Das beschleunigt nicht nur die Triage, sondern entlastet auch Security-Teams in zeitkritischen DFIR-Situationen.
Zwar empfiehlt sich für den produktiven Einsatz eine schrittweise Validierung in Live-Umgebungen, doch das Ergebnis ist wegweisend: Forensische Untersuchungen werden planbarer, schneller und verlässlicher – ohne Kompromisse bei Präzision oder Sicherheit.
Fazit: Wer VHDX-Analysen automatisiert, gewinnt entscheidende Zeit im Ernstfall.
Täglich setzt unser CSIRT-Team Velociraptor in komplexen Analysen ein – effizient, zuverlässig und forensisch präzise. Profitieren Sie von dieser Erfahrung und bringen Sie Ihre eigenen Untersuchungsprozesse auf das nächste Level – mit der Expertise eines ISO 27001:2022-zertifizierten Incident-Response-Teams.
Bildlegende: mit KI generiertes Bild