امنيتفارنزیک

Usb Forensic

توسط علی پیرویسی
0 804

سلام و ادب خدمت دوستان گرامی امیدوارم حالتون خوش باشه، یکی از مواردی که در علم جرم شناسی فضای دیجیتال (Digital forensics) بحث میشه مبحث removable device  ها هست که در ابعاد  مختلفی مورد بررسی قرار میگیرد.

در این مطلب میخواهم توضیحاتی درباره اینکه زمانی با استفاده از فلش یه اقدام خرابکارانه ای( اعم از سرقت اطلاعات یا وارد کردن بدافزاری به شبکه یا سیستم مذکور) در مجموعه ای انجام شد، خب!؟ چه باید کرد؟ اخرین زمانی که متصل شده چه زمانی بوده؟ مدلش چی بوده؟ چه اقدامی انجام داده؟؟

شاید بعضی دوستان این سوال برایشان پیش بیاید ما که پورت ها را میبندیم! بله درسته اما در موضوعی مجبوربه دادن دسرسی میشویم و یا راه ارتباطی اون سیستم usb است! در این صورت اگر اقدامی صورت گرفت چه؟

حال زمانی ما یک فلش(یا هارد و مموری کارت) به سیستم متصل میکنیم تفاوتی نمیکند لینوکس ویندوز یا مک

یک سری شواهد به جای میماند که اول با ویندوز شروع میکنیم که رایج تر است.

در آغاز باید گفت همانطور که در تست نفوذ راه های بسیاری موجود است برای پیشروی در فارنزیک هم همینطوره

اطلاعاتی که ما از این دیوایس ها میتونیم بدست بیاوریم به دو دسته تقسیم میشه که آن دو دسته شامل مواردی هست:

Usb Information

  • شرکت سازنده/مدل دیوایس/ورژن دیوایس
  • سریال نامبر یکتا دیوایس

 User information and activity with USB

  • مشخص شدن drive letter و volume name دیوایس
  • مشخص شدن اینکه کدام یوزر از کدام محصول استفاده کرده
  • شناسایی زمان اولین اتصال
  • شناسایی زمان آخرین اتصال
  • شناسایی زمان حذف دیوایس

در ویندوز ۴ محل مورد بررسی قرار گرفته میشه

  • Windows registry
  • Event logs
  • Plug and play log
  • Shell items(jumplists,LNK files,shellbags)

دستگاه های usb به سه پروتکل تقسیم میشوند:

  • Mass storage class(msc)
  • Picture transfer protocol(ptp)
  • Media transfer protocol(mtp)

فایل های مورد استفاده در این پروسه در سیستم عامل های مختلف:

Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM

HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EMDMgmt

C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7)

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx

C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Ntfs%4Operational.evtx

C:\Windows\INF\setupapi.dev.log

C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log

C:\Windows\setupapi.log

“Windows.old” folder

Volume Shadow Copies

C:\Users\<user account>\AppData\Roaming\Microsoft\ Windows\ Recent\ <Lnk files>

Mac OSX (tested on OSX 10.6.8 and 10.10.3)

private/var/log/kernel.log

private/var/log/kernel.log.incrementalnumber.bz2

private/var/log/system.log

/private/var/log/system.log.incrementalnumber.gz

Linux (tested on Ubuntu 17.04)

var/log/syslog

ما با استفاده از این منابع ۲ راه داریم راه اول استفاده از ابزار های بررسی دستی و اتوماتیک

برای استفاده دستی با ایمیج گرفتن از فایل های مروبطه توسط ابزار مورد نظر (به طور مثال FTK imager ) و در ادامه فایل های مربوط به ریجستری را توسط ابزار Registry explorer و دیگر فایل های لاگ را توسط ابزار mandiant highlighter بررسی میکنیم و ابزار یکم راحت تر از این دو ابزار USB Historian است.

اما ما در این پست به ابزاری جامع و با آسانی بیشتر نسبت به ابزار های گفته شده رجوع میکنیم

ابزار مورد نظر ما USB Forensic Tracker است

در ابتدا بگذارید کاربرد کلید هارا بگویم

  • ایکون سبز رنگ که فردی در حال دویدن هست دکمه run است و با کلیک بر روی آن به صورت خودکار کار خود را بر روی سیستم اجرایی شروع میکند.
  • ایکون هارد درایو برای mount کردن ایمیج است
  • ایکون ذره بین مربوط به فیلد کناری است برای اینکه اگر در پارتیشن دیگر سیستم عامل دیگری وجود داشت
  • ایکون سه سیستم عامل برای انتخاب دستی فایل های مورد نیاز مرتبط با آن سیستم عامل
  • ایکون تقویم برای خروجی گرفتن تحلیل است
  • ایکون فلش مموری برای پیدا کردن سریال usb مورد نظر که متصل به سیستم است
  • و دو ایکون بعدی هم برای مشاهده و حذف فایل دیباگ ابزار است

خب در  تصویر بالا ما توضیحی از نوع دیوایس، اولین زمان اتصال،سریال نامبر دیوایس و منبع این اطلاعات.مفید هست اما ناقص! باید بیشتر جست و جو کنیم.

در این تصویر ما اطلاعاتمون تکمیل تر میشود volume guide و دیوایس های هوشمندی که متصل شده هم نشان داده میشود.

از این تصویر متوجه میشیم که کدام یوزر و با چه sid num و اخرین زمان اتصال دیوایس به سیستم چه زمانی بوده.

و در آخرین قسمت ما متوجه میشیم که در هر پارتیشن به سراغ چه دایرکتوری ها و فایل هایی رفته شده.

امیدوارم که مفید بوده باشه براتون.

در پناه حق.

علی پیرویسی
ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.