Tanggapan kecelakaan Windows: Perangkat USB Redux

Windows

[ad_1]
Halo Sahabat di suratpembaca.web.id. Malam ini kita akan mengupas tentang Linux yaitu Tanggapan kecelakaan Windows: Perangkat USB Redux

.

Sekiranya postingan mengenai Tanggapan kecelakaan Windows: Perangkat USB Redux

dapat memberikan manfaat bagi Teman-teman semua. Mari baca artikel ini
hingga selesai.

Pada tahun 2005, Corey Altide dan saya menerbitkan artikel pertama tentang pelacakan perangkat penyimpanan USB pada sistem Windows. Pada saat itu, fokusnya adalah pada Windows XP. Banyak yang telah terjadi sejak saat itu … Saya tahu, ini adalah pernyataan yang meremehkan … Karena platform Windows telah berevolusi dan berkembang, pertama dengan Vista, kemudian dengan Windows 7, dan bahkan dengan Windows 10, kemajuan telah dibuat. telah (dan) beberapa. ) Hanya antara build Win10 yang berbeda.

Khusus untuk perangkat USB, beberapa waktu lalu kami (masyarakat) menyadari bahwa Microsoft-Windows-DriverFrameworks-UserMode / Operasional Laporan insiden berisi informasi yang sangat sedikit (lihat posting ini untuk melacak ID peristiwa) yang dapat digunakan oleh analis hukum digital untuk menentukan apakah perangkat USB terhubung ke sistem (dan terputus). Ini adalah temuan yang sangat mendalam dan sangat berharga … dan kemudian, untuk beberapa alasan yang tidak diketahui, laporan peristiwa Windows dinonaktifkan secara default.
Juga, saat meneliti informasi tentang topik ini, saya menemukan bahwa EMDMgmt Kuncinya tidak lagi tersedia di bagian perangkat lunak, yang terkait dengan ReadyBoost dan menyediakan informasi tentang perangkat yang terhubung ke USB. Oke, jadi satu artefak berkurang, satu artefak telah dihapus dari konstelasi … sekarang kita hanya perlu beradaptasi.

Sejujurnya, ini sebenarnya bukan sesuatu yang baru. Analis DFIR Membutuhkan Untuk kompatibilitas, terlepas dari apakah kita berperan sebagai konsultan atau FTE. Jika Anda seorang konsultan, Anda akan melihat lingkungan baru di setiap pencalonan dan akan ada hal-hal baru untuk dihadapi dan ditemukan. Beberapa waktu lalu, rekan satu tim menemukan bahwa klien telah menginstal LANDesk pada sistem mereka, dan departemen pemantauan perangkat lunak mencatat banyak informasi tentang proses yang berjalan di registri yang sama. Dalam peran internal, FTE tidak jauh berbeda, karena Anda mungkin menjalankan versi lama, unduhan perangkat lunak yang belum diperbarui / diperbarui karena alasan tertentu, program atau paket yang diinstal secara khusus oleh pengguna. Kebutuhan departemen mereka atau pelanggan dan sebagainya. Misalnya, kami menjadi terbiasa memiliki cadangan kumpulan registri yang tersedia selama peninjauan, dan kemudian kehilangan akses ke sana. Mereka tidak lagi tersedia secara default. Selain itu Microsoft-Windows-DriverFrameworks-UserMode / Operasional Laporan Acara Penjadwal Tugas / Operasional Microsoft Windows Pelaporan acara tampaknya dinonaktifkan secara default. Jadi, ketika kita menyadari bahwa sumber data atau artefak yang kita kenal dan gunakan tidak lagi tersedia, kita harus berinvestasi dalam mengidentifikasi alat alternatif untuk mengidentifikasi informasi serupa atau serupa. Kita harus merekonstruksi rasi bintang buatan itu.

Hal lain yang telah berkembang dari waktu ke waktu seiring dengan perkembangan platform Windows adalah bagaimana menangani perangkat USB. Sebagai contoh, Nicole Ibrahim mendefinisikan beberapa waktu lalu Bagaimana beberapa perangkat yang terhubung ke USB, terutama ponsel cerdas, berperilaku berbeda berdasarkan protokol yang digunakan. Presentasi Nicole tentang hal ini dapat ditemukan di sini.

Poin umumnya adalah bahwa kami tidak dapat lagi memperlakukan semua perangkat yang terhubung ke USB dengan cara yang sama, dan akibatnya, kami mungkin perlu mencari lokasi yang berbeda di sistem operasi, termasuk lokasi yang berbeda di registri dan di log peristiwa Windows. Temukan informasi yang sesuai dengan tujuan analisis kami. Berdasarkan ini, saya duduk dengan sistem lokal saya dan mulai menelusuri acara Windows, melalui Peraga Peristiwa, satu per satu, mencari petunjuk ke perangkat yang terhubung. Apa yang saya temukan adalah bahwa catatan koneksi tersebar di beberapa laporan tergantung pada perangkat yang terhubung (mis., Smartphone / kamera digital, HDD ext dengan slot, thumb drive, dll.).

Sebagai peringatan, catatan peristiwa ini tidak unik. Ini berarti bahwa pasangan sumber peristiwa/ID tidak secara eksklusif terkait dengan perangkat yang terhubung ke USB. Dalam banyak kasus, pasangan pengidentifikasi sumber / peristiwa yang sama berisi informasi spesifik untuk hard drive fisik lokal, serta volume yang berbeda pada hard drive tersebut. Juga, semua acara ini hanya untuk versi terbaru Windows 10, karena itulah satu-satunya hal yang harus saya uji.

Jadi, inilah lima sumber yang saya temukan. Ingatlah bahwa ini terbatas berdasarkan apa yang saya miliki untuk pengujian, tetapi harus menjadi titik awal yang baik …

Microsoft-Windows-WPD-MTPClassDriver / Operational.evtx

Sumber Acara: WPD-MTPClassDriver

ID Acara: 1005

Gambar 1: ID Peristiwa 1005

Gambar 1 menunjukkan di mana saya menghubungkan iPhone saya ke sistem untuk mengambil gambar. Saya juga memiliki input untuk iPod saya (ya, saya masih memiliki iPod …) yang ingin saya transfer musik ke iPhone saya. Menurut protokol yang digunakan, di sinilah kita mungkin menemukan kamera digital juga.

Microsoft Windows DeviceSetupManager / Admin

Sumber Acara: DeviceSetupManager

ID Acara: 112

Gambar 2: ID Peristiwa 112

Gambar 2 menunjukkan di mana saya menghubungkan thumb drive SanDisk Cruzer ke komputer saya.

Microsoft-Windows-StorageSpaces-Driver / Operational.evtx

Sumber Acara: StorageSpaces-Driver

ID Acara: 207

Gambar 3: ID Peristiwa 207

Saya membagikan Gambar 3 karena ini secara khusus merupakan hard drive eksternal, salah satu drive “dompet” dengan faktor bentuk / kompartemen kecil. Perangkat ini cukup kecil untuk ditenagai oleh koneksi USB. Saya tidak memiliki ruang yang lebih besar yang membutuhkan catu daya tambahan untuk pengujian.

Partisi Microsoft-Windows / Diagnostic.evtx

Sumber Acara: Partisi

ID Acara: 1006

Gambar 4: ID Peristiwa 1006, tampilan XML

Gambar 4 sedikit berbeda, karena “pandangan ramah” hanya mengatakan “hanya untuk penggunaan dalam ruangan”. Namun, melihat tampilan XML, kami melihat bahwa thumb drive SanDisk Cruzer dan nomor serinya segera keluar!

Microsoft-Windows-Ntfs / Operational.evtx

Sumber Acara: Ntfs

ID Acara: 145, 142

Gambar 5: ID Peristiwa 145

Gambar 5 menunjukkan catatan kejadian Ntfs / 145 (sebagian) dari koneksi sebelumnya dari thumb drive SanDisk Cruzer. Event ID 142 memberikan informasi lebih lanjut, termasuk tentang alokasi volume (C :, D :, F :, dll.), volume boot, dll., yang dapat digunakan untuk menghubungkan ke tas shell dan artefak perangkat. Windows portabel di registri.

rekomendasi

Dari sudut pandang forensik, saya sarankan untuk mengaktifkan jika Anda tertarik untuk melacak perangkat USB yang terhubung ke sistem Microsoft-Windows-DriverFrameworks-UserMode / Operasional Pelaporan peristiwa, mengirimkan log peristiwa tersebut keluar dari sistem (untuk diproses melalui SIEM), serta perburuan ancaman atau mekanisme lain untuk memastikan bahwa jika laporan dinonaktifkan, maka akan terdeteksi dan ditanggapi dengan tepat.

Perhatikan bahwa aktifkan Microsoft-Windows-DriverFrameworks-UserMode / Operasional Pelaporan peristiwa sesederhana menetapkan nilai “aktif” HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WINEVT \ Channels \ Microsoft-Windows-DriverFrameworks-UserMode / Operasional Kunci “1” dan mulai ulang sistem. Sebagai tip untuk analis DFIR yang membutuhkan verifikasi dan pemburu ancaman, Anda dapat menggunakan teknik sebaliknya (mengatur nilai “aktif” ke “0”) dan menonaktifkan log peristiwa Windows yang biasanya tersedia.

Itu tadi artikel tentang Tanggapan kecelakaan Windows: Perangkat USB Redux

, terimakasih telah berkunjung di website saya, semoga postingannya ada manfaatnya ya.

[ad_2]

Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.