Когда меня привлекают к расследованию утечки данных или инцидента с инсайдером, я редко начинаю с красивых дашбордов SIEM. Чаще передо мной просто образ системы, из которой уволившийся сотрудник предусмотрительно почистил историю браузера и удалил файлы. Думает, что замел следы. А главный свидетель, который этого сотрудника и хоронит — это незаметный файл NTUSER.DAT.
Это пользовательский куст реестра Windows, и он, без преувеличения, кладезь поведенческих артефактов.
Смотрите, что там можно найти. TypedPaths хранит пути, которые пользователь вбивал руками в адресную строку проводника. Захотел быстро перейти в скрытую сетевую папку «Отчеты_для_конкурентов» — и запись осталась, даже если сама папка уже отмонтирована. RecentDocs и OfficeMRU покажут, какие документы открывали и редактировали в Word или Excel, с метками времени и полными путями. RunMRU расскажет, какие команды запускали из окна «Выполнить», а UserAssist — какие GUI-приложения реально использовались и сколько раз.
Отдельная боль для инсайдеров — WordWheelQuery. Это поисковые запросы, введенные в строку поиска Windows. Когда сотрудник ищет «таблица_зарплат_всех» или «дамп_базы_клиентов», а потом утверждает, что случайно открыл не тот ярлык, такие артефакты отлично демонстрируют умысел. ShellBags запоминают факт открытия папок, даже если их потом удалили, а история RDP-подключений покажет, не прыгал ли пользователь горизонтально на другие машины.
Эти записи привязаны к конкретной учетной записи в многопользовательской системе и живут гораздо дольше, чем браузерная история. Очистить их штатными средствами почти невозможно — нужно знать, куда лезть в дебрях реестра, а среднестатистический офисный сотрудник об этом не подозревает.
