THE USB TRAIL: ANTI-FORENSICS AND ANTI-ANTI-FORENSICS BITTER ROMANCE
By Chidi Obumneme
USB大容量存储设备由于其外形轻巧、具有能作为攻击任何团体或组织的工具的能力而越发流行。因此,以色列的Ben-Gurion大学的研究员们发现了29种可用来攻击和危害计算机hi系统的USB设备。同样地,the Insider Threat(内部威胁)是对团体和组织的极大安全隐患,这在很大程度上是因为它们有特权访问*敏感或专有信息。这些内部威胁可以利用自己的位置,并决定泄露公司商业机密和敏感信息,以将其出售给竞争组织。
通过USB大容量存储设备泄露专有数据证明了进行这种形式的攻击的方式。 由于每个攻击者的目标是隐藏所有形式的不当行为,因此,证明这种攻击已生效是数字取证分析的责任。本文也以此为关键,尽管攻击者试图使用反取证技术清除自己的攻击痕迹,数字取证者们也将证明使用USB设备证明了攻击的行为。
INTRODUCTION
在某些组织中,严格禁止插入USB大容量存储设备,这是由于从攻击的角度来看,USB可以用于将泄露的数据传输到公司系统,也可以窃取公司数据。尽管采取了此类“无USB”政策,心怀不满的员工使用此类设备的现象仍然很常见,这也带来了威胁。 因此,揭露内部威胁的活动(关于USB大容量存储设备的使用)是必要的,正如本文所述。
这篇文章强调了USB取证的重要性,同时强调了USB使用的事实。系统上的设备会留下足迹,普通用户通常不会注意到这些足迹。 对于精通技术的攻击者来说,需要采用反取证方法来擦除USB痕迹在系统上的使用来掩盖痕迹,其最终目的是挫败法证(取证)分析师。
CASE STUDY
我们提出了数据盗窃的典型情况。ABC公司的XYZ先生被解雇了,基于公司怀疑他有几次偷窃公司商业机密并将其出售给竞争对手的行为。确定他一直在偷窃专有权文件是有必要的。公司提出怀疑是因为他总是通过USB窃取数据,尽管有ABC公司的“禁止使用USB”政策,但存储设备仍然存在。
在本文中,作者将在新安装的Windows 8计算机上模拟数据渗漏过程,取证,反取证和反-反取证技术。查看注册表编辑器(regedit.exe),在下图中,我们可以清楚地看到USB Mass尚未使用存储设备。缺少USBSTOR密钥可以清楚地知道这一点,通常在Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR中找到。
USBSTOR密钥记录在任何Windows上使用的每个USB大容量存储设备的详细信息,因此,如上图所示,没有USB存储设备被插入机器。
上图显示了用于模拟攻击的设备
在图3中,注册表编辑器向我们展示了在USB设备插入系统以执行攻击者想要的任务之后,USBSTOR密钥的创建。如果您仔细地注意,除了USBSTOR密钥外,还会看到一个新创建的密钥(图4),其中包含与插入USB Mass Storage设备相关联的信息。
ANTI-FORENSICS
作为黑客攻击的阶段之一,攻击者有兴趣清除自己的踪迹。如上所示,由于使用USB设备会留下明显的痕迹,清除这些痕迹(的方法)将由攻击者寻求。USBDeview是一个工具,可用于列出计算机上已使用的所有USB设备。它还具有清除USB设备使用痕迹的功能。它会显示每个USB设备插入机器时使用的驱动器号,您可以选择每个要删除的设备,进行卸载,然后从列表中清除设备。
卸载过程中,根据图6,将显示提示,以确保攻击者想要清除选定的设备。使用USBDeview清除曲目只是攻击者觉得还没有真正很好完成的一个步骤。攻击者之所以有这种感觉,是因为当后来有人运行USBDeview实用程序时候,不会显示已删除的设备,但USB设备的某些其他路径仍存在于机器上。如前所述,注册表是肯定会暴露攻击者的地方,同时注册表还会暴露攻击者用来进行攻击的特定设备。攻击者理所应当也应该清除注册表中的跟踪记录。由于USBDeview无法清除USB轨道的注册表,我们可以使用USB Oblivion。此实用程序在清除USBSTOR密钥的注册表项(和记录USB大容量存储设备使用情况的其他相关密钥)并查看注册表编辑器方面清晰地表明了其有效性。
由于需要完成一项完整的工作,因此请确保未选中“保存备份.reg文件”。另一个重要的选项是确保正确执行反取证技术(anti-forensic technique)。
系统重新启动后,将检查注册表编辑器以查看USB Oblivion执行了哪些作业。
下图对任何查看它的人,由于缺少USBSTOR密钥而在此系统上使用,将表明还没有USB大容量存储设备。尽管有“Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB”密钥,它表现为空状态,因此无法证明任何设备已插入机器。
FORENSICS and ANTI-ANTI-FORENSICS
攻击者已成功清除了他的USB使用记录,现在数字取证分析师必须证明机器上使用了某些存储设备。另一件需要分析师证明的事是数据是被窃取的。下图证明了数据渗漏实际上是发生在计算机上–大概来说,文件属于公司,并已复制到F\FOUND.000文件夹并从那里查看。链接解析器执行显示.lnk文件已被执行。
如下所示查看C:\Windows\Prefetch文件夹,使用取证工具USB Oblivion可以看到,这将使法证分析师倾向于注册表被篡改过。
下一步将提取注册表配置单元,以对其进行取证检查并确定数据必须已被篡改。 为此,通过“获取受保护的文件”选项,使用Accessdata FTK Imager进行提取。 如下图所示。
当前,我们对SYSTEM配置单元更感兴趣,我们只需将其提取到Analysis机器中即可。使用AccessData Registry Viewer打开提取的文件,以了解配置单元需要提供给取证分析师的信息。USBSTOR密钥很明显是缺失了,并且没有任何形式的删除的痕迹,因此从取证分析的条件下来看,我们无法证明任何事情,这使分析师进一步感到沮丧。
通过上述过程,取证分析师可能会开始感到沮丧,因为似乎没有任何删除的迹象。让我们不要忘记在Prefetch文件夹中定位USB Oblivion的用法是查找已删除注册表项的驱动力,这些注册表项针对攻击者。为了最终结束案件并赢得对攻击者的胜利,使用了注册表浏览器查看提取的SYSTEM配置单元。
从上面的图片中,可以看到删除的注册表项的痕迹,从而可以得出结论:USB大容量存储设备已插入计算机,数据泄露和设备使用情况已被删除以隐藏证据。
CONCLUSION
文章恰当地创建了一个过程,该过程证明了:尽管精巧的攻击者进行了反数据分析技术,数字足迹仍然可以由数字取证分析师收集,最终作为案件的证据。
因此,作者得出的结论是,反-反分析学方法的存在证明,每种反分析学方法都是有效的。
申明
由于本文为笔者在某杂志刊物上阅读到的,现已难以找到原文链接,如出现侵权现象请联系(hengztian@163.com),笔者将在第一时间删除本博文。