Введение
Несмотря на то что портативные USB устройства стали неотъемлемым атрибутом повседневной жизни обычного пользователя, они остаются одним из источников угроз для безопасности сетей. Это стало наиболее очевидно в 2008 году, когда вирус Conficker стремительно распространился по интернету и заразил миллионы домашних и корпоративных компьютеров, даже умудрившись пробраться в засекреченные и обычные сети министерства обороны США. Именно в этот момент люди стали всерьёз задумываться о тех проблемах, которые может повлечь за собой возможность пользователей свободно подключать USB устройства к защищенным сетям. Будучи весьма эффективным средством передачи самораспространяющегося вредоносного кода, эти устройства к тому же могут использоваться для удаления конфиденциальной, частной или секретной информации из сети без соответствующей авторизации. Именно по этой причине судебная экспертиза с акцентом на артефактах USB накопителей стала одной из наиболее актуальных тем последних лет.
Важные артефакты
Говоря о системе в контексте судебной экспертизы, мы обращаемся к тем элементам, которые остаются после определенной активности, так называемым артефактам. Когда вы посещаете веб-сайт с помощью Internet Explorer, в истории браузера остается артефакт, свидетельствующий о том, что вы посещали данный сайт. Когда вы входите в систему, в системном журнале безопасности остается запись – еще один артефакт. При анализе системы на предмет взлома или хищения данных именно эти артефакты являются ключами, которые помогают разобраться в том, что же на самом деле произошло. Практически все действия пользователя в системе оставляют после себя разного рода артефакты. Это касается и USB накопителей. Но встает вопрос о том, какие артефакты важны, и где их найти.
Важность тех или иных артефактов наличия USB накопителя будет в основном зависеть от обстоятельств вашего расследования. Возможно, вам нужно посмотреть перечень всех USB накопителей, подключавшихся к зараженной машине, чтобы выяснить, куда вредоносной код мог попасть после этого. Возможно, вы подозреваете пользователя в несанкционированном копировании данных, и вам нужно определить время, в которое личные накопители таких пользователей подключались к системе. Независимо от цели вашего расследования есть несколько ключевых мест в системе Windows, в которых такая информация может быть найдена.
Извлечение USB артефактов вручную
Основным способом обнаружения артефактов USB накопителей является переход в место хранения данной информации вручную. В этой статье мы рассмотрим такие места в Windows 7.
Проще всего найти информацию, содержащую список всех USB накопителей, которые подключались к системе. Эту информацию можно в готовом виде найти в системном реестре Windows в: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. В этом разделе вы найдете ключ каждого накопителя, который подключался к вашей системе, а также информацию о его производителе (Vendor), номере продукта (Product Number), номере версии (Version Number), и серийном номере (Serial Number), если применимо.
Рисунок 1: Список нескольких USB накопителей, которые подключались к компьютеру Windows 7После получения списка всех накопителей вам нужно выявить их принадлежность к пользователям. Это вполне возможно, но для этого потребуется выполнить дополнительные шаги. В реестре сначала нужно перейти в HKLM\SYSTEM\MountedDevices. В этой области вы можете выполнить поиск серийного номера подозрительного устройства. Когда номер найден, он поможет вам определить GUID, связанного с этим устройством.
Когда GUID устройства у вас под рукой, нужно сконцентрироваться на личных профилях пользователей машины. В папке каждого пользовательского профиля (C:\Users) имеется файл NTUSER.DAT. К этому файлу предоставляется доступ для HKEY_CURRENT_USER всякий раз при входе его владельца в систему. В результате, этот файл можно открыть в редакторе системного реестра с правами администратора. Чтобы связать пользователя с определенным устройством, нужно перейти в следующий каталог в NTUSER.DAT разделе: Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Здесь вы можете найти GUID нужного устройства. Если он найден, значит, пользователь был в системе, когда устройство было к ней подключено. Следует помнить, что этот поиск необходимо выполнять для каждого пользователя системы для установления такой взаимосвязи.
Рисунок 2: Поиск GUID устройства USB в NTUSER.DAT файлеОдним из наиболее важных аспектов судебного расследования являются временные рамки, в течение которых совершалось расследуемое событие. Поэтому очень важно знать, когда подозрительное USB устройство было подключено или отключено от системы.
Определение времени, когда накопитель был впервые подключен к системе, является вполне простой задачей при условии, что у вас есть серийный номер этого устройства (получение этой информации описано выше). При наличии этой информации найдите файл C:\Windows\inf\setupapi.dev.log и в нем найдите серийный номер этого устройства, в результате вы найдете время, когда устройство было подключено впервые.
Рисунок 3: Поиск времени первого подключения USB устройства в файле setupapi.dev.logС другой стороны, не менее важно определить время последнего подключения устройства к системе. Для получения этой информации нужно снова обратиться к реестру в HKLM/System/CurrentControlSet\Enum\USB\VID_12345&PID_12345, заменив '12345' идентификационными номерами производителя и продукта USB устройства (полученными ранее). Здесь вы можете экспортировать раздел реестра в текстовый файл, чтобы посмотреть время последней записи в устройство. Для этого нажимаете Файл (File), выбираете Экспорт в regedit, раздел при этом должен быть выделен.
Рисунок 4: Определение времени последнего подключения USB устройстваАвтоматизация извлечения артефактов
Помните, как в средней школе учитель учил вас делению в столбик, и к моменту, когда вы начинали понимать этот способ деления, учитель показывал вам сокращенное деление, и вам было интересно, почему не наоборот? Здесь схожая ситуация. Очень важно знать, как получать такую информацию вручную, но есть инструменты, позволяющие автоматизировать этот процесс.
Лично мне доводилось работать с двумя инструментами: USBDeview и Windows USB Storage (USBSTOR) Parser. Первый инструмент, USBDeview, представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать и отображать всю информацию, ручное извлечение которой мы обсуждали выше. Эту утилиту можно загрузить бесплатно здесь. Второй инструмент обладает подобным функционалом и может использоваться с Windows и Linux. Его можно загрузить отсюда.
Рисунок 5: Использование USBDeview для просмотра артефактов USB накопителяЗаключение
Если в вашей среде использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации информация из данной статьи поможет вам найти нужные фрагменты головоломки, чтобы надлежащим образом отреагировать на инцидент.
