DFIR unter Linux: Live-Triage mit UAC und Velociraptor

Drei Uhr nachts, ein Debian 12 zeigt einen verdaechtigen Cron, der alle 90 Sekunden /etc/ld.so.preload neu schreibt. Der falsche Reflex waere, die Maschine auszuschalten; der richtige ist, das Triage-Runbook zu oeffnen und den Live-Zustand zu erfassen, bevor der Angreifer merkt, dass das Licht angeht. Bei Basilisk taucht dieses Szenario monatlich in Simulationslaboren auf, und die Regel ist simpel: Order of Volatility zuerst, Hypothesen spaeter. Speicher, Verbindungen, Prozesse, offene File Descriptors und Kernel-Module haben absolute Prioritaet, denn ein Reboot oder ein fehlplatziertes `kill -9` zerstoert 80% dessen, was zaehlt.

Unser Standard-Werkzeugkasten beginnt mit UAC (Unix-like Artifacts Collector) von Tulpa Security und Velociraptor von Rapid7. UAC ist perfekt fuer Offline-One-Shot-Triage: Sie legen ein ~6MB tar.gz ab, fuehren `./uac -p ir_triage /mnt/beweise` aus, und in 8 bis 15 Minuten haben Sie Hashes, /proc-Dumps, journald, bash_history aller Nutzer, Cron-Listings und SSH-Konfiguration komprimiert. Velociraptor glaenzt, wenn wir VQL ueber eine Flotte fahren muessen: einhundertzwanzig Hosts in einer DMZ, orchestrierter Hunt, Artefakte `Linux.Sys.BashHistory` und `Linux.Detection.Yara.Process` parallel. Wer das Basis-Lab noch nicht gebaut hat, sollte vor echten Incident-Simulationen Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen durchgehen.

Die Speicherakquise bleibt der fragilste Schritt unter Linux. Auf Kernel 6.x ist AVML von Microsoft Research die konsistenteste Option, wenn LiME wegen fehlender Header nicht baut. Echter Befehl: `avml --compress /beweise/memdump.lime`. Reservieren Sie mindestens die doppelte RAM-Groesse auf Platte und schreiben Sie niemals auf die Opferdisk; mounten Sie ein read-write NFS unter /mnt/triage oder einen LUKS-verschluesselten USB-Stick. Nach der Erfassung geht die Analyse in Volatility 3 mit auto-erkanntem Profil weiter, und genau hier trifft die Pipeline auf Memory Forensics mit Volatility 3: Dumps im Reproduzierbaren Lab Analysieren. Ohne Memory Dump bleibt jedes LD_PRELOAD-Rootkit eine urbane Legende im Report.

Persistenz unter Linux wohnt selten an einem Ort. In juengsten Kinsing-Mining-Faellen fanden wir vier gleichzeitige Vektoren: eine systemd-Unit unter /etc/systemd/system/.cache.service, einen Root-Crontab-Eintrag, eine modifizierte /etc/rc.local und einen SUID-Wrapper unter /usr/local/sbin/ssh. UAC faengt all das mit dem Profil `ir_triage`, aber zusaetzlich `find / -newermt '2026-06-01' -type f -mtime -8 2>/dev/null` schliesst Luecken. Zur Korrelation mit aequivalenten Windows-Techniken konsultiert das Team Windows-Persistenz: 10 Dokumentierte Techniken und ihre Gegenmassnahmen, weil opportunistische Angreifer Muster plattformuebergreifend wiederverwenden.

Velociraptor veraendert das Spiel, sobald wir von einem Host auf eine Flotte wechseln. Wir starten einen Server auf t3.medium, generieren Linux-Clients mit `velociraptor config client`, verteilen sie per Ansible, und in 20 Minuten haben wir Sichtbarkeit. Die nuetzlichsten Hunts in unserem Playbook sind `Linux.Network.NetstatEnriched` fuer aktive Sessions, `Linux.Sys.SUID` fuer verdaechtige Binaries und eine kompilierte Yara-Regel mit Signaturen fuer Pupy, Sliver und Merlin. Trifft ein IOC, exportieren wir ein signiertes Collection-Zip und gehen zur statischen Analyse in isolierter Sandbox ueber, wie in Malware-Analyse im Isolierten Lab: Sicheres Setup mit FlareVM und REMnux beschrieben. Der Trick: nie das SHA-256-Hashing vor dem Verschieben von Artefakten ueberspringen.

Post-Triage Threat Hunting schliesst den Kreis. Wir verwandeln Detektionen in Sigma-Regeln und schieben sie in Elastic, was den Incident in dauerhafte defensive Faehigkeit verwandelt, der Fluss ist in Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel detailliert. Wir dokumentieren jede Entscheidung in einer Chain of Custody mit UTC-Timestamp, Hash und Operator, weil selbst im Lab Disziplin den noetigen Muskel fuer den Ernstfall aufbaut. Hosts, die den Incident ueberleben, haerten wir gemaess Linux-Server-Hardening: CIS Benchmark Anwenden Ohne die Produktion zu Zerlegen und ueberpruefen SSH nach SSH-Hardening 2026: Algorithmen, Zertifikate und Bastion-Hosts, bevor sie zurueck in die simulierte Produktion gehen.

Praktisches Takeaway: bauen Sie heute einen LUKS-Stick mit UAC, AVML und einem vorkonfigurierten Velociraptor-Client gegen Ihren Hunt-Server. Testen Sie auf einer sauberen Debian-VM, stoppen Sie die Zeit, justieren Sie das Profil und versionieren Sie das tar.gz in Ihrem internen Repo. Wenn der Pager um 3 Uhr klingelt, wollen Sie keine Dokumentation lesen, sondern Beweise sammeln. Live-Triage ist keine Kunst, sondern eine disziplinierte Checkliste unter Druck.