Eksamensprojekt: Incident Response & Threat Hunting (IRTH)

> Kategori: Digital Forensics & Incident Response > Oprettet: 8. juni 2026

Eksamensprojekt: Incident Response & Threat Hunting (IRTH)

I dette projekt har jeg gennemført en dybdegående analyse af et simuleret cyberangreb mod domænet herman.local. Opgaven fokuserede på den disciplin, der kaldes Digital Forensics and Incident Response (DFIR), hvor målet er at identificere, inddæmme og forstå et sikkerhedsbrud efter det er sket.

Opgavens Scope og Formål

Undersøgelsen tog udgangspunkt i et netværk bestående af en Domain Controller og to Windows 11 arbejdsstationer. Mit materiale bestod af:

  • Elastic Logs: En centraliseret platform med Windows Event Logs (via Winlogbeat) og netværkstrafik (via Zeek).
  • Disk Image: Et fuldt udtræk af en kompromitteret harddisk, analyseret med Autopsy.
  • Memory Dump: Et udtræk af RAM fra den inficerede maskine, analyseret med Volatility.

Formålet var at rekonstruere en præcis tidslinje over angrebet og identificere angriberens metoder (TTP’er).

Detektering af Angrebskæden

Gennem min analyse lykkedes det mig at kortlægge den fulde “Kill Chain”:

  1. Rekognoscering & Initial Adgang: Angriberen startede med et omfattende portscan for at finde åbne tjenester. Derefter blev der gennemført et succesfuldt SSH Brute Force angreb mod en lokal bruger, hvilket gav den første fod indenfor i netværket.
  2. Lateral Movement: Fra den første maskine bevægede angriberen sig videre i netværket ved hjælp af værktøjet PsExec. Her blev domænets administrator-credentials misbrugt til at overtage kontrollen med en anden workstation.
  3. Social Engineering: Sideløbende blev en bruger manipuleret via et telefonopkald fra “IT Support” til at downloade en inficeret ZIP-fil (mostlyharmless.zip).
  4. Command & Control (C2): Ved eksekvering af malwaren (badtom.exe) etablerede angriberen en Reverse Shell over en ikke-standard port (4321). Dette gav dem en interaktiv kommandoprompt, hvorfra de kunne fjernstyre maskinen.

Hvad jeg lærte

Dette projekt har givet mig en uvurderlig praktisk erfaring med de værktøjer og metoder, som professionelle Incident Responders bruger hver dag:

  • Korrelering af data: Jeg lærte vigtigheden af at sammenholde fund fra forskellige kilder. Et spor i netværkstrafikken (Zeek) giver først mening, når det kobles med en processtart i Windows (Sysmon).
  • Tidslinje-rekonstruktion: At stykke fragmenterede beviser sammen til en logisk, kronologisk rækkefølge er en kritisk færdighed i forensics.
  • MITRE ATT&CK Mapping: Ved at mappe angriberens handlinger mod MITRE ATT&CK rammeværket, lærte jeg at kategorisere trusler på et strategisk niveau, hvilket gør det lettere at kommunikere fund og anbefale modforanstaltninger.
  • Værktøjsbeherskelse: Jeg har fået dyb indsigt i brugen af Volatility til memory-analyse og Autopsy til disk-forensics, herunder hvordan man finder slettede filer og analyserer browserhistorik for spor efter social engineering.

Konklusion

Projektet understregede for mig, at IT-sikkerhed ikke kun handler om at bygge mure, men i høj grad også om at have de rette værktøjer og kompetencer til at opdage og analysere de angribere, der uundgåeligt finder en vej igennem.