Banner 1

Análisis forense de conexiónes de dispositivos USB

Hace ya un tiempo miramos como ver los dispositivos conectados en nuestro pc , ahora les traigo este articulo mas completo sobre el funcionamiento de los dispositivos usb y en que afecta nuestro sistema saludos.


El presente artículo tiene por objetivo introducirnos al análisis forense de un sistema Windows para investigar qué dispositivos USB han sido conectados y permitir extraer la mayor información posible sin tenerlos a mano, solo por los rastros que dejan en el equipo.
Puede parecer banal pero en realidad supone una parte muy importante en algunas investigaciones, ya que nos permite no solo conocer si un dispositivo ha sido conectado sino cuándo se ha realizado la última conexión, tipo de dispositivo, etc.

Teoría.

Lo primero que debemos conocer es cómo funciona el sistema, qué sucede cuando enchufamos un dispositivo USB, por ejemplo un pendrive al sistema Windows:

1. El Manager Plug and Play (PnP) recibe el evento y le pregunta al dispositivo por sus descriptores en el firmware del mismo. Un ejemplo de esta información es el fabricante, tipo de dispositivo, etc.

2. El Manager PnP utiliza esta información para localizar el driver que utiliza el dispositivo y si es necesario cargar uno nuevo( lo que quedaría reflejado en el fichero de log c:\windows\setupapi.log ).

3. Una vez identificado el sistema crea una entrada en el registro de Windows en la siguiente rama:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

El propio nombre de esta entrada ya nos proporciona información, veamos un ejemplo práctico:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_TomTom&Prod_
GO

4. El dispositivo está listo para usarse.

Práctica.

Imaginemos por ejemplo que estamos examinando un servidor y nos encontramos con la entrada que vimos anteriormente, claro indicio de que alguien con acceso al mismo ha conectado su dispositivo de navegación GPS TomTom, probablemente para actualizarlo.

Pero esto es solo el principio, hasta aqui podemos identificar qué tipo de dispositivos se conectan pero una parte fundamental del análisis forense sería identificar unívocamente el dispositivo concreto que se ha conectado al sistema. Para ello nos sirve el campo iSerialNumber.
Todos los dispositivos certificados con el logotipo de Windows tienen un valor único para el campo iSerialNumber. En el siguiente ejemplo vemos una imágen en la que podemos apreciar el número de serie de un dispositivo USB:


Free Image Hosting at www.ImageShack.us

La pregunta a realizarse ahora es qué sucede si conectamos un dispositivo que no tiene el logo y por lo tanto es susceptible de no incorporar número de serie. Lo que sucede en estos casos es que el manager PnP le asigna un identificador, que será unico en el equipo, pero que evidentemente no coincidirá con los que les asigne otro sistema Windows. Esto puede resultarnos una complicación en el caso de que investiguemos el rastreo de un dispositivo concreto, aunque el campo FriendlyNameParentIdFix. Microsoft no proporciona información acerca de cómo se crea dicho campo, pero nunca me he encontrado dos dispositivos idénticos que en distintas máquinas den distinto valor en el ParentIdFix. Esto no es muy científico, por lo que únicamente con esto no disponemos de una prueba consistente, pero puede ayudar en algunos momentos o darnos pistas en el curso de una investigación.

Otra pregunta que surge llegados a este punto es diferenciar los dispositivos que tienen número de serie unívoco de los que no. Es muy sencillo, los que no lo tienen, contienen en su segundo carácter del identificador asignado por el Manager PnP el símbolo &.
En el siguiente ejemplo vemos el rastro de dos dispositivos, uno con iSerialNumber propio y otro sin él (asignado por el sistema):


Free Image Hosting at www.ImageShack.us

Otro valor importante que se puede obtener del registro es el LastWrite time, o momento de última escritura. Si comprobamos el LastWrite de la clave correspndiente al iSerialNumber podremos establecer la hora a la que dicho dispositivo fue conectado por ultima vez.

Herramientas.

Como se ha podido intuir esta tarea puede suponer un trabajo muy tedioso si investigamos un equipo que lleve funcionando varios años. La cantidad de dispositivos que han podido ser conectados mediante USB al mismo puede llegar a ser muy considerable.
Afortunadamente hay herramientas que automatizan en gran parte este proceso, de manera que nos ahorran el trabajo tedioso de investigar manualmente el registro.

USBDeview. Esta aplicación de Nirsoft se conecta al registro y nos muestra de manera muy sencilla diversos datos sobre los dispositivos USB: fecha de creación, última vez que fueron conectados, número de serie, tipo de dispositivo, etc. Es gratuita y muy pero que muy recomendable.
A continuación muestro una captura de pantalla de la herramienta:


Free Image Hosting at www.ImageShack.us

DeviceLock Plug and Play. Similar al anterior.

Referencias.

Windows Forensic Analysis. Halan Carvey.
Información del registro de Windows. Microsoft.


Fuente:http://dmedianero.byethost15.com/blog/2009/03/analisis-forense-de-conexiones-de-dispositivos-usb/

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay