Takılan USB Kayıtlarının Analizi (USB Drive Forensics)
Universal Serial Bus (USB), 1996 yılından beri mouse, yazıcı gibi aygıtların bağlantılarını tek tip hale getirilmesi ve veri akışının daha hızlı yapılabilmesi amacıyla geliştirilmiştir. Bu bağlamda USB girişleri temel olarak dış donanımların bilgisayar ile bağlantı kurmasında görev almaktadır.
Kişisel verilerin artması ile beraberinde verilerin taşınma gereksinimi oluşmuştur, Bu gereksinimi karşılamak adına usb bellekler kullanımına ihtiyaç duyulmuştur. USB bellek ile veri taşıma kopyalama gibi kullanıcı veri depolama üniteleri olarak günümüzde sıkça kullanılan bir bilişim bileşenidir. USB bellek elektrik gücü kesildiğinde bile veri saklamaya devam edebilen, sakladığı verinin elektronik ortamda silinip yeniden tekrar yazılmasına imkan veren depolama aygıtlarıdır.
USB belleklerde; 1 adet ground (topraklama), 1 adet power ve 2 adette veri olmak üzere 4 girişi bulunur.
Figure 1(https://consumersforinternetcompetition.com/article/1985-anatomy-ssd/?utm_referrer=https%3A%2F%2Fwww.google.com%2F)
USB Dış kılıfını çıkardığımız zaman anatomik görünümü bu şekildedir.
Biz siber güvenlik tarafından olaya bakacak olursak bu depolama aygıtları yani USB bellekler kullanılarak, siber saldırganlar sistemlere trojan, keylogger, sniffer gibi zararlı yazılım bulaştırmak yaymak için kullanılan popüler bir bileşendir. Kimi zaman ise kötü niyetli bir kullanıcı bilgisayar üzerinden izni olmaksınız gizli verileri kopyalayıp dışarı aktarma gerçekleştirerek veri ihlali olay yaşatabilir. Tabi bu şekilde sistemin erişim, bütünlüğünü ve gizliliğini ihlal etme riskine sahip olan USB bellek cihazların Windows bir sisteme takılıp takılmadığını takılmış ise seri numarasını, zaman damgalarını tespit etmek için kullanılan forensics tekniklerinden bahsedeceğim.
Takılan USB Tespiti
Windows bir sistem üzerinde forensics tekniklerini kullanarak sisteme takılan USB bellek için, aygıt adı, açıklaması, aygıt türü, seri numarası, aygıtın eklendiği tarih/saat, satıcı kimliği, ürün kimliği gibi değerli bilgileri elde edebiliriz.
Windows makinesindeki USB artifacklerini tespit etmek için manuel ve otomatik yöntemleri kullanabiliriz. Bu artifacklerin bulunmuş olduğu konumuna gidip analiz gerçekleştirebiliriz ya da yardımcı bir tool ile bu dosya konumlarına tek tek gitmeden analizi gerçekleştirebiliriz.
Bir USB aygıtı Windows makineye takıldığından oluşturmuş olduğu artifackler;
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
Takılan USB aygıtların; Vendor, Product, Version, Device S/N, USB satıcısı, ürün adı, seri numarası, sürüm adı gibi detayları görebiliriz.
PowerShell script yardımıyla da görebilmemiz mümkündür;
Get-ItemProperty -Path HKLM:SYStemCurrentControlSetEnumUSBSTOR** | Select FriendlyName
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB
Bu konum Vid, Pid ve (EnumUSB VIDPID DateTime) bilgilerini alır.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Portable DevicesDevices
Bu konum, Volume name, Sürücü Harfi ve Birim Adını alır
HKEY_LOCAL_MACHINESYSTEMMountedDevices
Bu konum Drive Letter, Guid ve MountPoint’i alır
HKEY_USERSSIDSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 (NTUSER.datSoftwareMicrosoftWindowsCurrentVersionExplorerMountpoints2)
Bu konum, Son Bağlanma Zamanını (MountPoints2 Tarih/Saat) alır
HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionEMDMgmt
Bu konum, Ready Boost ile ilgili bilgileri alır (win4n6 posta listesinden not edilmiştir)
SYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_yyyyxxxxxProperties{83da6326-97a6-4088-9453-a1923f573b29} 0000064 0000000Data
İlk bağlantı değeri alır
SYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_yyyyxxxxxProperties{83da6326-97a6-4088-9453-a1923f573b29} 0000065 0000000Data
İlk bağlantı değeri alır
SYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_yyyyxxxxxProperties{83da6326-97a6-4088-9453-a1923f573b29} 066
Son bağlantı değerini tutar.
SYSTEMCurrentControlSetEnumUSBSTORDisk&Ven_&Prod_yyyyxxxxxProperties{83da6326-97a6-4088-9453-a1923f573b29} 067
USB aygıtı için sürücünün “Son Kaldırma Tarihi” değeri alır.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceClasses
Bu konum (DeviceClasses tarih/saatini) alır.
C:Windowssetupapi.log
Bu dosya Kurulum Tarihi/Saatini alır.
· HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumSWDWPDBUSENUM
· HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
· HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Portable Devices
· HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows SearchVolumeInfoCache
· C:WindowsSystem32winevtLogsMicrosoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7)
· C:WindowsSystem32winevtLogsMicrosoft-Windows-Storage-ClassPnP/Operational.evtx
· C:WindowsSystem32winevtLogsMicrosoft-Windows-WPD-MTPClassDriver/Operational.evtx
· C:WindowsSystem32winevtLogsMicrosoft-Windows-Partition%4Diagnostic.evtx
· C:WindowsSystem32winevtLogsMicrosoft-Windows-Ntfs%4Operational.evtx
· C:WindowsINFsetupapi.dev.log
· C:WindowsINF setupapi.dev.yyyymmdd_hhmmss.log
· “Windows.old” folder
· Volume Shadow Copies
· C:Users<user account>AppDataRoamingMicrosoft Windows Recent <Lnk files>
USB analizinde . SYSTEM, SOFTWARE, NTUSER.dat, UsrClass.dat, setupapi.log dosyalarında bulunan, artifacklerin konuma gidip analizimizi gerçekleştirebiliriz. Bu artifackler dosyalarını elde etmek için ya diskin imajını ya da FTK Imager gibi yardımcı tool ile elde etmiş olduğumuz triyaj verilerini almamız gerekmektedir
Manuel bir şekilde gidip Registry hive dosyalarını analiz etmek için Registry Explorer aracını kullanabiliriz.
Hiç artifakin yolluyla uğramadan otomatik analiz etmek için yardımcı toollar kullanmamız gerekmektedir. Yardımcı toollara örnek olarak, Usb Forensics Tracker, Usbdeviex, Usb Devices Wiew gibi araçlar örnek verilebilir.
Örnek senaryo ile olayın uygulamalı analiz kısmını YouTube video şeklinde nasıl çözüldüğüne bakabilirsiniz.
https://www.youtube.com/watch?v=KcAcLiwTVwg&t=76s;
ABC ilaç firmasında kimya mühendisi olarak görev yapan Muhammed işten çıkarılacağını bilmektedir bundan dolayı ABC ilaç firmasına ait özel ilaç formüllerini dışarı çıkarmayı hedeflemiştir. Muhammed’in elinde bulunan usb cihaza şirketin vermiş olduğu Windows bir sisteme sahip olan bilgisayara takmış ve veri içerisine kopyalamıştır. İş çıkışı tam çıkarken güvenlik kontrolüne yakalanmış çantasında bulunan usb bellek sorulmuştur. Kimya Mühendisi Muhammed savunma olarak usb belleği çantada unuttuğu şirkette hiçbir şekilde kullanmadığı bilgisayara takmadığını iddia etmiştir.
ABC ilaç firmasının 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması için bilgisayara el adli analizin gerçekleştirilmesi için bizlere iletmiştir.
Gerekli Adli Bilişim prosedürleri uygulandıktan sonra elde edilen bilgisayar üzerinden triyaj verileri alındı.
Manuel Analiz ile 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması
Manuel analiz etmek için Registry Explorer isimli aracı kullanacağım.
Yardımcı Tool ile 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması
Yardımcı toollara örnek olarak, Usb Forensics Tracker toolunu vermiştim bu tool benim kullanmış olduğum güzel bir araç. Bu araç sayesinde manuel gitmekten ziyade otomatik olarak bilgileri getirmeyi sağlar.
Kaynak:
[1] http://itm.iit.edu/netsecure11/PhilipPolstra_USBForensics.pdf
[2] https://www.hackingarticles.in/usb-forensics-detection-investigation/
[3] http://www.orionforensics.com/forensics-tools/usb-forensic-tracker/
[4]https://www.researchgate.net/publication/318514858_USB_Storage_Device_Forensics_for_Windows_10