Takılan USB Kayıtlarının Analizi (USB Drive Forensics)
Takılan USB Kayıtlarının Analizi (USB Drive Forensics)
Universal Serial Bus (USB), 1996 yılından
beri mouse, yazıcı gibi aygıtların bağlantılarını tek tip hale getirilmesi ve
veri akışının daha hızlı yapılabilmesi amacıyla geliştirilmiştir. Bu bağlamda
USB girişleri temel olarak dış donanımların bilgisayar ile bağlantı kurmasında
görev almaktadır.
Kişisel verilerin artması ile beraberinde
verilerin taşınma gereksinimi oluşmuştur, Bu gereksinimi karşılamak adına usb
bellekler kullanımına ihtiyaç duyulmuştur. USB bellek ile veri taşıma kopyalama
gibi kullanıcı veri depolama üniteleri olarak günümüzde sıkça kullanılan bir
bilişim bileşenidir. USB bellek elektrik gücü kesildiğinde bile veri saklamaya
devam edebilen, sakladığı verinin elektronik ortamda silinip yeniden tekrar
yazılmasına imkan veren depolama aygıtlarıdır.
USB belleklerde; 1 adet ground
(topraklama), 1 adet power ve 2 adette veri olmak üzere 4 girişi bulunur.
Figure
1(https://consumersforinternetcompetition.com/article/1985-anatomy-ssd/?utm_referrer=https%3A%2F%2Fwww.google.com%2F)
USB Dış kılıfını çıkardığımız zaman anatomik
görünümü bu şekildedir.
Biz siber güvenlik tarafından olaya bakacak
olursak bu depolama aygıtları yani USB bellekler kullanılarak, siber
saldırganlar sistemlere trojan, keylogger, sniffer gibi zararlı yazılım
bulaştırmak yaymak için kullanılan popüler bir bileşendir. Kimi zaman ise kötü
niyetli bir kullanıcı bilgisayar üzerinden izni olmaksınız gizli verileri
kopyalayıp dışarı aktarma gerçekleştirerek veri ihlali olay yaşatabilir. Tabi
bu şekilde sistemin erişim, bütünlüğünü ve gizliliğini ihlal etme riskine sahip
olan USB bellek cihazların Windows bir sisteme takılıp takılmadığını takılmış
ise seri numarasını, zaman damgalarını tespit etmek için kullanılan forensics tekniklerinden bahsedeceğim.
Takılan
USB Tespiti
Windows bir sistem üzerinde forensics
tekniklerini kullanarak sisteme takılan USB bellek için, aygıt adı, açıklaması,
aygıt türü, seri numarası, aygıtın eklendiği tarih/saat, satıcı kimliği, ürün kimliği
gibi değerli bilgileri elde edebiliriz.
Windows makinesindeki USB
artifacklerini tespit etmek için manuel
ve otomatik yöntemleri kullanabiliriz. Bu artifacklerin bulunmuş olduğu
konumuna gidip analiz gerçekleştirebiliriz ya da yardımcı bir tool ile bu dosya
konumlarına tek tek gitmeden analizi gerçekleştirebiliriz.
Bir USB aygıtı Windows makineye
takıldığından oluşturmuş olduğu artifackler;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Takılan USB aygıtların;
Vendor, Product, Version, Device S/N, USB satıcısı, ürün adı, seri numarası,
sürüm adı gibi detayları görebiliriz.
PowerShell script yardımıyla
da görebilmemiz mümkündür;
Get-ItemProperty -Path
HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
Bu konum Vid, Pid ve (Enum\USB VIDPID
DateTime) bilgilerini alır.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Portable Devices\Devices
Bu konum, Volume name, Sürücü Harfi
ve Birim Adını alır
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Bu konum Drive Letter, Guid ve
MountPoint'i alır
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2)
Bu konum, Son Bağlanma Zamanını
(MountPoints2 Tarih/Saat) alır
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\EMDMgmt
Bu konum, Ready Boost ile ilgili
bilgileri alır (win4n6 posta listesinden not edilmiştir)
SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000064\00000000\Data
İlk bağlantı
değeri alır
SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000065\00000000\Data
İlk bağlantı
değeri alır
SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0066
Son bağlantı
değerini tutar.
SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0067
USB aygıtı için
sürücünün "Son Kaldırma Tarihi" değeri alır.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
Bu konum (DeviceClasses
tarih/saatini) alır.
C:\Windows\setupapi.log
Bu dosya Kurulum Tarihi/Saatini alır.
·
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\ProfileList
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Portable Devices
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Search\VolumeInfoCache
·
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
(Windows 7)
·
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx
·
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx
·
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx
·
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Ntfs%4Operational.evtx
·
C:\Windows\INF\setupapi.dev.log
·
C:\Windows\INF\
setupapi.dev.yyyymmdd_hhmmss.log
·
“Windows.old” folder
·
Volume Shadow Copies
·
C:\Users\<user
account>\AppData\Roaming\Microsoft\ Windows\ Recent\ <Lnk files>
USB analizinde . SYSTEM, SOFTWARE,
NTUSER.dat, UsrClass.dat, setupapi.log dosyalarında bulunan, artifacklerin
konuma gidip analizimizi gerçekleştirebiliriz. Bu artifackler dosyalarını elde
etmek için ya diskin imajını ya da FTK Imager gibi yardımcı tool ile elde etmiş
olduğumuz triyaj verilerini almamız gerekmektedir
Manuel bir şekilde gidip Registry hive
dosyalarını analiz etmek için Registry Explorer aracını kullanabiliriz.
Hiç artifakin yolluyla uğramadan otomatik
analiz etmek için yardımcı toollar kullanmamız gerekmektedir. Yardımcı toollara
örnek olarak, Usb
Forensics Tracker, Usbdeviex,
Usb
Devices Wiew gibi araçlar örnek verilebilir.
Örnek senaryo ile olayın uygulamalı analiz kısmını YouTube video şeklinde nasıl çözüldüğüne bakabilirsiniz.
https://www.youtube.com/watch?v=KcAcLiwTVwg&t=76s;
ABC ilaç firmasında kimya mühendisi olarak
görev yapan Muhammed işten çıkarılacağını bilmektedir bundan dolayı ABC ilaç
firmasına ait özel ilaç formüllerini dışarı çıkarmayı hedeflemiştir. Muhammed’in
elinde bulunan usb cihaza şirketin vermiş olduğu Windows bir sisteme sahip olan
bilgisayara takmış ve veri içerisine kopyalamıştır. İş çıkışı tam çıkarken
güvenlik kontrolüne yakalanmış çantasında bulunan usb bellek sorulmuştur. Kimya Mühendisi Muhammed savunma olarak usb
belleği çantada unuttuğu şirkette hiçbir şekilde kullanmadığı bilgisayara
takmadığını iddia etmiştir.
ABC ilaç firmasının 22.05.2022 tarihinde
SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması
için bilgisayara el adli analizin gerçekleştirilmesi için bizlere iletmiştir.
Gerekli Adli Bilişim prosedürleri
uygulandıktan sonra elde edilen bilgisayar üzerinden triyaj verileri alındı.
Manuel Analiz ile 22.05.2022 tarihinde
SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması
Manuel analiz etmek için Registry Explorer
isimli aracı kullanacağım.
Yardımcı Tool ile 22.05.2022 tarihinde
SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması
Yardımcı toollara örnek olarak, Usb
Forensics Tracker toolunu vermiştim bu tool benim kullanmış olduğum güzel bir
araç. Bu araç sayesinde manuel gitmekten ziyade otomatik olarak bilgileri
getirmeyi sağlar.
Kaynak:
[1] http://itm.iit.edu/netsecure11/PhilipPolstra_USBForensics.pdf
[2] https://www.hackingarticles.in/usb-forensics-detection-investigation/
[3] http://www.orionforensics.com/forensics-tools/usb-forensic-tracker/
[4]https://www.researchgate.net/publication/318514858_USB_Storage_Device_Forensics_for_Windows_10
