EnCase Para Organizações Pequenas: As Fraudes E Seu Vestígio No Arquivo NTUSER.DAT



O avance da tecnologia move e facilita a maior parte das atividades cotidianas dentro de uma organização. Contudo, é usada também para atos delitivos e para obter benefícios pessoais por parte de alguns funcionários que atuam de maneira inescrupulosa. Esta atividade tem gerado perdas econômicas consideráveis, tanto no setor empresarial como no âmbito particular nos últimos anos.

Para os examinadores e/ou auditores o grande reto é identificar o delito que está cometendo um determinado empregado dentro de uma empresa, através da Internet, como por exemplo, quando se comete uma ameaça e/ou uma fraude. Para lidar com esse problema, há uma fonte de muita importância que fornece suficiente informação identificando de maneira clara em que atividade estava involucrado o usuário, o que estava fazendo, quando e porquê estava fazendo: analisar a grande base de dados que subministra o arquivo NTUSER.DAT. Em seguida, revisaremos alguns exemplos de fraude e como poderemos solucionar os problemas com os quais se enfrentam os examinadores e/ou auditores diante de um incidente cibernético.


Uma fraude pode ser realizada por meio de computadores e com ajuda do uso da Internet, como por exemplo, roubo de propriedade intelectual, espionagem industrial, fraude e roubo eletrônico, pornografia infantil, pedofilia, entre muitos outros; para resolver esta problemática, uma grande ajuda para os examinadores e auditores  mediante o uso das ferramentas que permite fazer uma correlação  e estabelecer um padrão de comportamento é EnCase Forensics ou EnCase Enterprise , a qual visualiza seu conteúdo como um arquivo composto de modo fácil e ordenado, facilitando a análise ao registro de Windows, em especial ao arquivo NTUSER.DAT, com a finalidade de identificar que empregados ingressaram ao computador interceptado e determinar quem é o autor desse tipo de delitos.

No caso de ser roubo de propriedade intelectual, podemos analisar a execução de programas através de NTUSER.DAT revisando o Assistente de Usuário, já que este permite visualizar os programas baseados em GUI lançados desde o escritório, fazendo seguimento aos programas de execução em um sistema Windows; para isso podemos ver a chave NTUSER.DAT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist \ {GUID} \ Conde. Através desta chave podemos ter uma ideia de quando um usuário executou um programa objeto de fraude, também saber que programas estavam no escritório; assim mesmo se realizou descargas de programas ou documentos, entre outros dados... Assim:

Todos os valores são ROT-13 codificados
GUID para XP
- 75048700 Active Desktop
GUID para Win7
- CEBFF5CD execução de arquivos executáveis
- F4E57C4B Shortcut execução de arquivos
• Lugares Programa para Win7 UserAssist
- ProgramFilesX64 6D809377-...
- ProgramFilesX86 7C5A40EF-...
- Sistema 1AC14E77-...
- SystemX86 D65231B0-...
- Escritório B4BFCC3A-...
- Documentos FDD39AD0-...
- Descargas 374DE290-...
- UserProfiles 0762D272-...


Outro tipo de análise que se pode realizar quando o tipo de fraude é de propriedade intelectual é estabelecer a instalação de programas não autorizados, mediante a chave OpenSaveMRU, identificando o último programa executável utilizado e adicionalmente determinar a localização do diretório acedido da aplicação; este dato está no código:

 XP          NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU  y 
Win7       NTUSER.DAT\Software\Microsoft\Windows\ CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU

Por conseguinte, a chave OpenSaveMRU contribui a  estabelecer em nossa auditoria a análise forense , os arquivos executáveis das aplicações utilizadas e sua última rota utilizada.
Outra informação que proporciona a chave OpenSave é identificar que arquivos foram descarregados dentro de Windows, através de OpenSaveMRU, conhecer os arquivos descarregados, abertos e guardados. Em termos mais simples, esta chave rastreia este tipo de arquivos deixando-o em una caixa de diálogo de Windows Shell, a qual também inclui informação dos navegadores como Internet Explorer e Firefox, e outras aplicações de uso comum, deixando-os na seguinte chave:

XP NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \ OpenSaveMRU
Win7 NTUSER.DAT \ Software \ Microsoft \ Windows \CurrentVersion \ Explorer \ Comdlg32 \OpenSavePIDlMRU

Assim mesmo, a informação encontrada na chave OpenSave serve para realizar seguimento aos arquivos guardados ou abertos recentes de qualquer entrada de extensão desde o diálogo de OpenSave por extensão específica (por exemplo: Excel).

Outra forma de observarem-se sinais de fraude quando alguém está fazendo espionagem industrial (roubo de documentos para entregar à competência) é determinar através da chave NTUSER.DAT \ Software \Microsoft  Office \ VERSION  os últimos arquivos usados ou arquivos recentes. Também se pode determinar em que versão de Microsoft Office foi editada ou modificada, identificadas dentro da chave assim:  14.0 = Office 2010, 12.0 = Office 2007, 11.0 = Office 2003, 10.0 = Office XP.

Esta utilidade permite determinar neste tipo de fraudes como fazer seguimento dos últimos arquivos que estavam abertos na aplicação MS Office. A última entrada completada pela MRU (é a abreviatura de 'most-recently-used'), será o tempo do último arquivo que foi aberto por uma específica aplicação de MS Office.

Igualmente outra informação que proporciona NTUSER.DAT é identificar no equipamento auditado que tipo de buscas realizou  (Search Asistente),  sobretudo se o equipamento é Windows XP  interpretando  através da chave NTUSER.DAT \ Software \ Microsoft \ Search Asistente \ ACMru \ # # # #. 

Aí se pode encontrar grande fonte de informação e orientar a investigação do tipo de buscas e o tipo de informação que estava monitorando nosso suspeitoso. Posto que através desta chave podemos encontrar se se estava buscando equipamentos e impressoras que estivessem em uma rede, nome de arquivos ou palavras contidas em arquivos. Este é um exemplo onde se pode encontrar o " Historial de Busca " no sistema de Windows e os resultados ficariam  assim:


 Buscar em Internet - # # # # = 5001, Tudo ou parte do nome de um documento - # # # # = 5603, Uma palavra ou frase dentro de um arquivo - # # # # = 5604, Impressoras, Computadores e Gente - # # # # = 5647.



Quando se têm ameaças e/ou fraude na empresa ou organização, e se tenham indícios da pessoa que os está cometendo, os encarregados de responder a estes incidentes devem focar-se nesta grande base de dados que deixa cada usuário no arquivo NTUSER,DAT; desde aí se logra a relação de que, quem, como e quando se cometeu  a fraude. Assim mesmo, mediante a análise ou auditoria se pode conseguir um controle e checagem para evitar estes muitos tipos de fraudes que podem ser daninhos a uma empresa ou organização; há fraudes de muitos tipos, algumas mais prejudiciais que outras.

Como podemos dar-nos conta de como as fraudes informáticas estão com maior incremento
?

Pela grande quantidade de usuários que existem dentro deste ramo, e como estes exemplos são uma parte mínima do que podemos encontrar dentro do registro de Windows, então, através das bondades que possui EnCase Enterprise ou EnCase Forensics, podemos apresentar conclusões evidenciando excelentes resultados de cada análise ou auditoria referente a fraudes.



No comments :

Post a Comment