Академический Документы
Профессиональный Документы
Культура Документы
Александр Мессерле
ИБтивист. Исследую в ИБ
то, что движется. Т о, что
не движется, кладу в
песочницу.
nayca@mail.ru
Борис Осепов
Специалист ИБ. Увлекаюсь
средствами анализа
вредоносного ПО. Люблю
проверять маркетинговые
заявления на практике :)
mainboros777@gmail.com
USB FORENSIC
BATTLE
ВЫБИРАЕМ ИНСТРУМЕНТ
ДЛЯ АНАЛИЗА
ПОДКЛЮЧЕНИЙ НОСИТЕЛЕЙ
Также для проверки качества работы утилит после удаления признаков под‐
ключения устройств мы использовали USB Oblivion.
Для оценки инструментов мы смотрим на удобство тулзы, наглядность
результатов и их полноту, наличие или отсутствие дополнительных сведений.
Основная задача — подобрать оптимальную программу, отличающуюся пол‐
нотой предоставляемых сведений и удобством в использовании.
REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
\??\Volume{14dfb3bc-5c31-11ec-8d87-f46d043a41b7}
\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_USERS\<SID пользователя>\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
EMDMgmt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
EMDMgmt_??_USBSTOR#Disk&Ven_&Prod_USB_DISK_2.0&Rev_
PMAP#070867948D560839&0#VICTIMFAT_173966065
ФАЙЛОВАЯ СИСТЕМА
C:\Users<имя юзера>\AppData\Roaming\Microsoft\Windows\Recent\
Промежуточный вывод
Если у тебя много времени и есть желание, в реестре можно копошиться
довольно долго. Мы показали тебе скорее теорию, чем практику. Очевидно,
что посмотреть таким образом даты подключения устройства не получится,
а нас это не устраивает. Безопасник хочет домой, к любимому котику и плат‐
ным подпискам стриминговых сервисов, помнишь?
Промежуточный вывод
WRR работает как‑то замороченно и медленно, а USB History годится разве
что для получения списка устройств и времени (зато быстро). Давай поищем
прошку получше.
NIRSOFT USBDEVIEW
Промежуточный вывод
Программа — почти мечта форензика. Если бы приходилось иметь дело только
с live-системами, а пользователи не терли бы инфу об устройствах, то
USBDeview — выбор номер один. Однако ты уже понял, что мы на этом
не останавливаемся, ведь нет предела совершенству. Как насчет офлайн‑сис‐
тем, образов дисков и определения файлов на флешке, к которым обращался
юзверь? Сможем ли мы получить независимое от DLP-системы подтвержде‐
ние, что наш работник — вредитель?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\
UMB
Также:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
ProfileList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\
VolumeInfoCache
Помимо этого, утилита смотрит теневые копии — что особенно полезно против
любителей затирки следов — и папку Windows.old (там могут храниться фай‐
лы setupapi и логи, помнишь?).
Давай запустим эту пушку на live-системе, слева для этого есть специальная
зеленая кнопка.
Информация выводится с разбивкой по источникам. По сравнению
с USBDeview здесь нет прямого указания времени первого или последнего
подключения, только первая дата по реестру и множество дат подключений,
которые по каждому источнику приходится смотреть отдельно. Что приятно,
в каждой строке дано указание, откуда именно программа взяла артефакты.
Можно скопировать информацию напрямую из интерфейса или выгрузить
в Excel. Радует факт, что выгрузка почти полностью повторяет интерфейс прог‐
раммы.
Промежуточный вывод
Утилита использует значительное количество источников, в том числе и из дру‐
гих ОС. Огорчает, что не выполняется корреляция полученных сведений (пос‐
троение единого таймлайна со всеми данными), а только выгрузка вида
«источник — смотри что я в нем нашел». Из других минусов — к программе
надо приноравливаться. Например, для анализа офлайн‑файлов нужны реаль‐
ные копии файлов, а не твой JSON-триаж с самыми сочными артефактами
или отдельными кустами реестра. Теневые копии анализируются только
по одной за раз для каждого диска. Несмотря на это, программа выглядит
как одно из лучших решений в своем классе. Пожалуй, она поможет нашему
герою уйти с работы, не слишком задержавшись.
Продолжение статьи →
АДМИН ← НАЧАЛО СТАТЬИ
USB DETECTIVE
C:\Users<имя>\AppData\Local\Microsoft\Windows
Предпоследний вывод
Главный недостаток программы в том, что сканирование live-системы
и топовых артефактов (логи, ярлыки) доступно только в платных версиях, а для
бесплатных приходится заморачиваться с выгрузкой системных артефактов.
Немного жалко, что нет возможности сохранить сессию в программе, чтобы
каждый раз не указывать заново артефакты и ждать завершения анализа. Прог‐
рамма позволяет получить максимум валидированной информации, минусы —
продолжительное время анализа и цена pro-версий.
Забавно, что популярная утилита для очистки следов USB-устройств — USB
Oblivion удаляет гораздо больше источников, большинство из которых даже
не обрабатывал USB Detective:
• файлы: C:\Windows\setupact.log и setuperr.log;
• журналы: Microsoft-Windows-DeviceSetupManager/Operational и Admin,
Microsoft-Windows-Kernel-PnP/Configuration, Microsoft-Windows-Kernel-
ShimEngine/Operational, также журнал приложений, безопасности и событий
оборудования.
HKLM\system\controlset00X\control\class\*
HKLM\system\controlset00X\enum\storage\volume\
HKLM\system\controlset00X\hardware profiles\0001\system\
currentcontrolset\enum\*
HKEY_LOCAL_MACHINE\system\controlset001\control\devicecontainers\
HKEY_LOCAL_MACHINE\system\controlset001\control\usbflags\`
HKLM\system\controlset00X\services\rdyboost\attachstate
HKLM\software\classes\local settings\software\microsoft\windows\
shell\bags
HKLM\SOFTWARE\Microsoft\WBEM\WDM\DREDGE`;
Пользовательские шелл‑баги:
HKEY_USERS<user_SID>\software\classes\wow6432node\local settings\
software\microsoft\windows\shell\bagmru
HKEY_USERS<user_SID>\software\classes\local settings\software\
microsoft\windows\shell\muicache\*
HKEY_USERS<user_SID>\software\classes\local settings\software\
microsoft\windows\shell\bagmru
HKEY_USERS<user_SID>\software\classes\local settings\software\
microsoft\
Центр синхронизации:
windows\currentversion\syncmgr\handlerinstances
HKEY_USERS<user_SID>\software\microsoft\windows\currentversion\
explorer\userassist
HKEY_USERS<user_SID>\software\microsoft\windows\shell\bagmru
HKEY_USERS<user_SID>\software\microsoft\windows\shell\bags\
Автозапуск с устройств:
HKEY_USERS<user_SID>\software\microsoft\windows\currentversion\
explorer\autoplayhandlers\knowndevices