Daten verraten: USB-Laufwerksnutzung am System

Fachbeitrag

Windows speichert alle angeschlossenen USB-Geräte in der Registry. Mit diesen Spuren lässt sich die Nutzung von USB-Sticks oder anderen externen Datenträgern nachvollziehen, um z.B. einen Datenabfluss aufzuklären. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Datenabfluss von Betriebsgeheimnissen

Sie haben festgestellt, dass Betriebsgeheimnisse Dritten zugänglich gemacht wurden. Nachdem ausgeschlossen wurde, dass die Daten über das Internet entwendet wurden, wird vermutet, dass die Daten mit Hilfe von externen Speichermedien abgeflossen sind. Um aufzuklären an welchen Arbeitsplatzrechnern sich unbekannte USB-Geräte befanden, kann eine forensische Untersuchung der Windows Registry helfen.

Diese speichert an verschiedenen Stellen u.a. die Seriennummer und Hersteller-ID der angeschlossenen Geräte. Anhand dessen kann geprüft werden, welche Geräte legitim verwendet wurden und welche dem Unternehmen unbekannt sind. Die identifizierten Rechner können dann in einer forensischen Analyse genauer betrachtet werden.

USB und USBSTORE

Wie bereits in einem vorherigen Artikel beschrieben, gibt es im SYSTEM-Hive zwei wichtige Schlüssel für USB-Geräte. USB-Medien die sich zum Datentransfer eignen werden unter dem Schlüssel USBSTORE gespeichert, zusätzlich finden sich diese und weitere USB-Geräte unter USB. Unterhalb des USBSTORE befinden sich die Schlüssel für USB-Datenträger. Prinzipiell bekommt jedes Gerät seinen eigenen Unterschlüssel, werden aber mehrere USB-Geräte desselben Typs verwendet, teilen sich diese den Unterschlüssel. Die Unterscheidung, welches Gerät genau angeschlossen war, kann anhand der Seriennummer ermittelt werden.

USB-Geräte die werkseitig keine Seriennummer haben, bekommen eine von Windows genreriete Seriennummer zugewiesen. Diese erkennt man daran, dass das zweite Zeichen ein &-Symbol ist. Diese Einträge können keinem Gerät eindeutig zugewiesen werden. Unter dem Unterschlüssel Properties speichert Windows in drei Schlüsseln die Zeitstempel für folgende Ereignisse:

  • Erster Anschluss am System
  • Letzter Anschluss am System
  • Zuletzt vom System entfernt

Mit der Seriennummer kann unter dem USB Schlüssel die Vendor ID (VID) und Produkt ID (PID) des Gerätes ermittelt werden.

Alternative Quelle für Seriennummern

Kann die Seriennummer oder ein Gerät unter dem USBSTORE Schlüssel nicht mehr nachvollzogen werden, gibt es im SOFTWARE-Hive noch den Schlüssel Windows Portable Devices, welcher ebenfalls benutzte USB-Geräte speichert und die Seriennummer im Schlüsselnamen vorhält. Ebenso lässt sich der Typ des Gerätes ermitteln, wie z.B. ein in diesem Fall rot markierter Amazon Kindle, der an dem untersuchten Windows Rechner angeschlossen wurde. In einem weiteren Artikel werden wir noch detaillierter darauf eingehen.

Zuordnung des Laufwerkbuchstabens

Anhand der Seriennummer kann nun geprüft werden, welcher Laufwerkbuchstabe dem Gerät zugeordnet war. Unter SYSTEM\Mounted Devices sind Einträge zu den angeschlossenen Laufwerken dokumentiert. Jedes Laufwerk bzw. Volume besitzt ein Globally Unique Identifier (GUID), der zusammen mit dem Laufwerksbuchstaben gespeichert wird. In diesen Einträgen kann nun nach der Seriennummer des fraglichen USB-Datenträgers gesucht werden.

Durch dieses Vorgehen erhält man den GUID des Laufwerks sowie ggf. den zugeordneten Laufwerkbuchstaben. Anhand des Laufwerkbuchstabens kann im weiteren Verlauf der Analyse geprüft werden, welche Daten auf dem Laufwerk vorhanden waren.

Identifikation des Benutzers

Die gesammelten Informationen können anschließen mit weiteren Spuren zur Identifikation des Benutzers führen, welcher die USB-Geräte verwendete. Wie im vorherigen Artikel bereits erklärt, befinden sich in der benutzerspezifischen NTUSER.DAT Einträge zur USB Nutzung des jeweiligen Benutzers. Zusätzlich können die Zeiten der Login-Einträge im Ereignislog mit den Anschlusszeiten der USB-Geräte in Zusammenhang gebracht werden. 

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Ein Kommentar zu diesem Beitrag

  1. Da ich aus Gründen des Datenschutzes nach 2020 meine Systeme nicht auf PPP OS 10 upgraden möchte, würde mich schon einmal interessieren welche Erfahrungen in Bezug der Forensic + Datenschutz z.B. Linux, Unix and Co gewonnen wurden.
    Für die Forensic in der WinRegistry benötigt man aber nicht unbedingt eine Forensic Software.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.