Du hast bemerkt, dass Betriebsgeheimnisse an Dritte weitergegeben wurden. Nachdem ausgeschlossen wurde, dass die Daten über das Internet gestohlen wurden, besteht der Verdacht, dass sie über externe Speichermedien abgeflossen sind. Um herauszufinden, an welchen Arbeitsplatzcomputern unbekannte USB-Geräte verwendet wurden, kann eine forensische Untersuchung der Windows-Registrierung helfen.
Analyse des Datenabflusses von Betriebsgeheimnissen
Die Windows-Registrierung speichert an verschiedenen Stellen Informationen über alle angeschlossenen USB-Geräte. Dazu gehören unter anderem die Seriennummer und die Hersteller-ID der Geräte. Anhand dieser Informationen kann überprüft werden, welche Geräte legitim verwendet wurden und welche dem Unternehmen unbekannt sind. Die identifizierten Computer können dann einer eingehenderen forensischen Analyse unterzogen werden.
USB und USBSTORE
Wie bereits in einem vorherigen Artikel erwähnt, gibt es im SYSTEM-Hive der Windows-Registrierung zwei wichtige Schlüssel für USB-Geräte. USB-Geräte, die zum Datentransfer geeignet sind, werden im Schlüssel USBSTORE gespeichert. Zusätzlich sind diese und andere USB-Geräte unter USB zu finden. Unter dem USBSTORE-Schlüssel befinden sich die Unterschlüssel für USB-Datenträger. Jedes Gerät hat seinen eigenen Unterschlüssel, aber wenn mehrere USB-Geräte desselben Typs verwendet werden, teilen sie sich den Unterschlüssel. Die genaue Zuordnung, welches Gerät angeschlossen war, kann anhand der Seriennummer ermittelt werden.
USB-Geräte, die werkseitig keine Seriennummer haben, erhalten eine von Windows generierte Seriennummer. Diese Seriennummern erkennt man daran, dass das zweite Zeichen ein “&”-Symbol ist. Diese Einträge können keinem Gerät eindeutig zugeordnet werden. Unter dem Properties-Unterschlüssel speichert Windows in drei weiteren Unterschlüsseln die Zeitstempel für folgende Ereignisse:
- Erstes Anschließen am System
- Letztes Anschließen am System
- Letztes Entfernen durch das System
Mithilfe der Seriennummer können unter dem USB-Schlüssel die Vendor ID (VID) und die Produkt ID (PID) des Geräts ermittelt werden.
Alternative Quelle für Seriennummern
Falls die Seriennummer eines Geräts oder ein Gerät im USBSTORE-Schlüssel nicht mehr verfolgt werden können, gibt es im SOFTWARE-Hive einen weiteren Schlüssel namens Windows Portable Devices. Auch dieser speichert verwendete USB-Geräte und behält die Seriennummer im Schlüsselnamen bei. Außerdem lässt sich damit der Gerätetyp ermitteln, zum Beispiel ein rot markierter Amazon Kindle, der mit dem untersuchten Windows-Computer verbunden war. In einem weiteren Artikel werden wir darauf noch genauer eingehen.
Zuordnung des Laufwerkbuchstabens
Anhand der Seriennummer kann nun festgestellt werden, welchem Gerät ein bestimmter Laufwerkbuchstabe zugewiesen war. Unter SYSTEMMounted Devices sind Einträge zu den angeschlossenen Laufwerken dokumentiert. Jedes Laufwerk bzw. Volume besitzt eine global eindeutige Kennung (GUID), die zusammen mit dem Laufwerksbuchstaben gespeichert wird. In diesen Einträgen kann nun nach der Seriennummer des fraglichen USB-Datenträgers gesucht werden.
Durch dieses Vorgehen erhält man die GUID des Laufwerks sowie gegebenenfalls den zugeordneten Laufwerkbuchstaben. Anhand des Laufwerkbuchstabens kann im weiteren Verlauf der Analyse überprüft werden, welche Daten auf dem Laufwerk gespeichert waren.
Identifizierung des Benutzers
Die gesammelten Informationen können in Verbindung mit anderen Spuren zur Identifizierung des Benutzers führen, der die USB-Geräte verwendet hat. Wie bereits im vorherigen Artikel erklärt, gibt es in der benutzerspezifischen NTUSER.DAT Einträge zur USB-Nutzung des jeweiligen Benutzers. Zusätzlich können die Anmeldezeiten im Ereignisprotokoll mit den Anschlusszeiten der USB-Geräte in Verbindung gebracht werden.
