Bảo mật liên quan đến
việc sử dụng USB
Quản trị mạngTrong bài này chúng tôi s
ẽ giới thiệu cho các bạn một số file b thiết b l
trữ USB phát sinh trên hệ thống, bên cạnh đó là cách thu thập v
à làm sáng t
xác định xem liệu USB có liên quan đến việc phát tán mã độc tr
ên máy tính Windows hay
không.
Mặc dù USB đã trthành th
không thể thiếu trong cuộc sống của bất cứ ai, nh
nhng thiết bị này c
ũng đặt ra một thách thức không nhỏ đối với việc bảo mật mng.
Không gì rõ nét hơn như nhng gì xy ra v
ào năm 2008, khi đó virus Conficker đ
lan với một tốc độ chóng mặt trên Internet và lây nhiễm hàng tri
ệu máynh gia đ
doanh nghiệp, thậm chí nó còn tìm được cả đường để xâm nhập vào các m
ạng đ
bảo mật chặt chẽ của Bộ quốc phòng M. Lúc đó người ta bt đầu để ý đến h
dụng USB ca người dùng trong các mạng đư
ợc bảo vệ. Không những hiệu qu trong
việc tự nhân bản malware, các thiết bị này cũng có thể đư
ợc sử dụng để remove các
thông tin nhạy cảm, độc quyền hay thông tin m
ật từ một mạng một cách trái phép.
Với những lý do ở trên, việc đi kiểm tra các file đư
ợc bỏ lại sau khi cm USB tr
thành một đề tài nóng trong vài năm gn đây.
Những file bị phát sinh trên máy khi cắm USB
Khi điều tra một vấn đề gì đó, chúng ta thường thiên về những gì còn sót l
ại. Khi duyt web trong
Internet Explorer, chúng ta thường để li một số dấu vết trong lưu k
ý trình duy
vào m
ột hệ thống, bạn cũng sẽ để lại một entry trong bản ghi bảo mật hệ thống. Bng cách kim
tra chi tiết một hệ thống, các thông tin này s
ẽ giúp ích cho chúng ta rất nhiều trong vic xác đnh
nhng gì đã xảy ra. Có khá nhiều thứ bạn thực hiện trên h
ệ thống có thể để lại các thông tin kiu
này. Với các USB cũng vậy. Câu hỏi ở đây là, vậy các USB bỏ lại những gì
khi chúng ta c
chúng với máy tính.
Những gì USB để lại trong máy tính sẽ rất hữu dng cho việc nghiên c
u. Nó có th giúp
bạn xác định máy tính nào là nguyên nhân của lây nhiễm. Bên c
ạnh đó nó cũng có th giúp
bạn xác định được thời điểm một ai đó cắm USB vào hệ thống và copy d
ữ liệu trái phép. D
mục đích của bạn là gì đi chăng nữa, chúng ta sẽ cùng nhau đi tìm nơi ch
a các kiu thông
tin này bên trong hệ điều hành Windows.
Trích rút thủ công
Cách cơ bản nhất để tìm ra những gì phát sinh khi cắm USB vào hệ thống l
à duy
lưu trữ các thông tin này. Trong bài này, chúng ta sẽ tập trung vào các đ
ịa điểm nh
trong hệ điều hành Windows 7.
Thông tin đầu tiên và cũng là thông tin dễ trích rút nhất là danh sách các thi
ết b USB đ
hệ thống. Bạn có thể nhanh chóng tìm ra các thông tin này theo đường
dẫn:HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR.
Ở đây bạn sẽ t
cắm vào hệ thống, cùng với đó là các thông tin khác như tên hãng, s
ố sản phẩm, số phi
Hình 1: Danh sách một số thiết bị USB cắm vào máy tính Windows 7 gần đây
Sau khi có được danh sách các thiết bị đã đư
ợc sử dụng, bạn cần xác định xem
các thiết bị đó là của ai. Điều này có thể được thực hiện nhưng ph
ải qua một số
bước bổ sung. Trong registry, trước tiên hãy truy cập
đếnHKLM\SYSTEM\MountedDevices. Bên trong vùng này, bạn có thể tìm
kiếm số serial của thiết bị đang được nói đến. Sau khi đã tìm ra s
ố serial, khóa
này sẽ cung cấp cho bạn GUID có liên quan với thiết bị.
Sau khi có được GUID thiết bị, bạn cần tập trung v
ào profile cá nhân trên máy
tính. Bên trong mỗi thư mục users profile (C:\Users) sẽ có một file
NTUSER.DAT. File này có thể đư
ợc mở bằng registry editor hệ thống với đặc
quyền quản trị viên. Để trói buộc người dùng nào đó với thiết bị nào, bạn cần
duyệt đến thư mục dưới đây bên trong NTUSER.DAT
hive:Software\Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2
Ở đây bạn có thể tìm kiếm GUID của thiết bị đang được nói đến. Nếu nó đư
ợc
tìm ra thì người dùng đó đã đăng nhập khi thiết bị USB được cắm vào h
ệ thống.
Cần lưu ý rằng tìm kiếm này phải được thực hiện cho mọi người dùng trên h
thống khi thử kiểu tương quan này.