Bảo mật liên quan đến việc sử dụng USB

Trong bài này chúng tôi sẽ giới thiệu cho các bạn một sốtrữ USB phát sinh trên hệ thống, bên cạnh đó là cách thu thập và làm sánxác định xem liệu USB có liên quan đến việc phát tán mã độc trên máy tín không.
Nội dung trích xuất từ tài liệu:
Bảo mật liên quan đến việc sử dụng USBBảo mật liên quan đến việc sử dụng USBQuản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một sốtrữ USB phát sinh trên hệ thống, bên cạnh đó là cách thu thập và làm sánxác định xem liệu USB có liên quan đến việc phát tán mã độc trên máy tínkhông.Mặc dù USB đã trở thành thứ không thể thiếu trong cuộc sống của bất cứ ai, nhnhững thiết bị này cũng đặt ra một thách thức không nhỏ đối với việc bảo mậtKhông gì rõ nét hơn như những gì xảy ra vào năm 2008, khi đó virus Confickelan với một tốc độ chóng mặt trên Internet và lây nhiễm hàng triệu máy tính gidoanh nghiệp, thậm chí nó còn tìm được cả đường để xâm nhập vào các mạngbảo mật chặt chẽ của Bộ quốc phòng Mỹ. Lúc đó người ta bắt đầu để ý đến hàndụng USB của người dùng trong các mạng được bảo vệ. Không những hiệu quviệc tự nhân bản malware, các thiết bị này cũng có thể được sử dụng để removthông tin nhạy cảm, độc quyền hay thông tin mật từ một mạng một cách trái phVới những lý do ở trên, việc đi kiểm tra các file được bỏ lại sau khi cắm USBthành một đề tài nóng trong vài năm gần đây.Những file bị phát sinh trên máy khi cắm USBKhi điều tra một vấn đề gì đó, chúng ta thường thiên về những gì còn sót lại. KInternet Explorer, chúng ta thường để lại một số dấu vết trong lưu ký trình duyvào một hệ thống, bạn cũng sẽ để lại một entry trong bản ghi bảo mật hệ thốngtra chi tiết một hệ thống, các thông tin này sẽ giúp ích cho chúng ta rất nhiều trnhững gì đã xảy ra. Có khá nhiều thứ bạn thực hiện trên hệ thống có thể để lạinày. Với các USB cũng vậy. Câu hỏi ở đây là, vậy các USB bỏ lại những gì khchúng với máy tính.Những gì USB để lại trong máy tính sẽ rất hữu dụng cho việc nghiên cứu. Nó cbạn xác định máy tính nào là nguyên nhân của lây nhiễm. Bên cạnh đó nó cũngbạn xác định được thời điểm một ai đó cắm USB vào hệ thống và copy dữ liệumục đích của bạn là gì đi chăng nữa, chúng ta sẽ cùng nhau đi tìm nơi chứa cáctin này bên trong hệ điều hành Windows.Trích rút thủ côngCách cơ bản nhất để tìm ra những gì phát sinh khi cắm USB vào hệ thống là dulưu trữ các thông tin này. Trong bài này, chúng ta sẽ tập trung vào các địa điểmtrong hệ điều hành Windows 7.Thông tin đầu tiên và cũng là thông tin dễ trích rút nhất là danh sách các thiết bhệ thống. Bạn có thể nhanh chóng tìm ra các thông tin này theo đườngdẫn:HKLMSYSTEMCurrentControlSetEnumUSBSTOR. Ở đây bạn sẽcắm vào hệ thống, cùng với đó là các thông tin khác như tên hãng, số sản phẩmHình 1: Danh sách một số thiết bị USB cắm vào máy tính Windows 7 gần đâySau khi có được danh sách các thiết bị đã được sử dụng, bạn cần xác định xemcác thiết bị đó là của ai. Điều này có thể được thực hiện nhưng phải qua một sốbước bổ sung. Trong registry, trước tiên hãy truy cậpđếnHKLMSYSTEMMountedDevices. Bên trong vùng này, bạn có thể tìmkiếm số serial của thiết bị đang được nói đến. Sau khi đã tìm ra số serial, khóanày sẽ cung cấp cho bạn GUID có liên quan với thiết bị.Sau khi có được GUID thiết bị, bạn cần tập trung vào profile cá nhân trên máytính. Bên trong mỗi thư mục users profile (C:Users) sẽ có một fileNTUSER.DAT. File này có thể được mở bằng registry editor hệ thống với đặcquyền quản trị viên. Để trói buộc người dùng nào đó với thiết bị nào, bạn cầnduyệt đến thư mục dưới đây bên trong NTUSER.DAThive:SoftwareMicrosoftWindowsCurrentVersionExplorerMountPointsỞ đây bạn có thể tìm kiếm GUID của thiết bị đang được nói đến. Nếu nó đượctìm ra thì người dùng đó đã đăng nhập khi thiết bị USB được cắm vào hệ thốngCần lưu ý rằng tìm kiếm này phải được thực hiện cho mọi người dùng trên hệthống khi thử kiểu tương quan này.Hình 2: Tìm kiếm trong file NTUSER.DAT để xác định GUID của USBMột trong những khía cạnh quan trọng nhất cho việc nghiên cứu là tìm ra thờiquanh sự việc đang được điều tra. Điều quan trọng cần biết ở đây là thời điểmnối hoặc hủy kết nối với hệ thống.Việc xác định thời điểm thiết bị lần đầu được kết nối với hệ thống khá dễ dàngcó số serial của nó (cách thức thực hiện đã được chúng tôi giới thiệu ở các bướbạn hãy tìm đến file C:Windowsinfsetupapi.dev.log và thực hiện tìm kiếmbiết được thời điểm lần đầu thiết bị này được cắm vào hệ thống là khi nào.Hình 3: Tìm kiếm trong file bản ghi setupapi.dev.log để xác định thời điểm UShệ thốngMột khía cạnh khác, chúng ta cũng cần phải xác định thời điểm thiết bị kết nốilà khi nào. Để truy cập vào thông tin này, chúng ta chỉ cần xem trong registrytạiHKLM/System/CurrentControlSetEnumUSBVID_12345&PID_12345bằng tên hãng và ID sản phẩm mà chúng ta đã thu được từ bước trên. Ở đây, bregistry dưới dạng file văn bản để xem thời điểm ghi vào khóa mới nhất. Điềucách kích File, sau đó Export từ bên trong regedit, khi khóa được chọn.Hình 4: Xác định thời điểm cuối cùng USB được kết nối từ registryTự động trích rútNgoài việc tự tìm kiếm các thông tin ở trên, ...