Analisis forensik digital adalah kunci dalam memahami kejadian keamanan siber, dan salah satu artefak vital dalam sistem operasi Windows adalah UserAssist. Artefak ini menyimpan catatan berharga tentang interaksi pengguna dengan sistem, memberikan wawasan mendalam bagi penyelidik.
Apa Itu UserAssist?
UserAssist adalah fitur Windows yang secara otomatis melacak program dan aplikasi yang dijalankan pengguna, pintasan yang diakses, serta item Control Panel yang dibuka. Catatan ini sangat relevan dalam forensik digital karena langsung mencerminkan aktivitas pengguna di sistem yang terinfeksi atau menjadi target.
Lokasi dan Struktur Data UserAssist
Data UserAssist disimpan dalam Registry Windows, khususnya di hive NTUSER.DAT untuk setiap profil pengguna yang masuk. Jalur spesifiknya biasanya terletak di HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist. Struktur data di bawah key ini terdiri dari beberapa subkey yang diwakili oleh GUID (Globally Unique Identifier). Setiap GUID mewakili kategori item yang dilacak, misalnya, subkey tertentu untuk aplikasi yang dieksekusi dan lainnya untuk pintasan.
Informasi yang Tersimpan dalam UserAssist
Setiap entri dalam UserAssist umumnya menyimpan informasi berikut:
- Jalur lengkap (full path) ke aplikasi, skrip, atau pintasan yang diakses.
- Jumlah berapa kali item tersebut telah dijalankan atau diakses (execution count).
- Timestamp terakhir kali item tersebut diakses atau dieksekusi.
Penting untuk dicatat bahwa data string (seperti jalur path) dalam UserAssist sering kali di-encode, biasanya menggunakan varian ROT13, sehingga memerlukan decode selama analisis untuk mendapatkan nilai sebenarnya.
Nilai Forensik Artefak UserAssist
Artefak UserAssist memberikan nilai forensik yang signifikan dalam berbagai skenario penyelidikan insiden. Data ini dapat:
- Mengonfirmasi eksekusi malware, tool post-exploitation, atau backdoor.
- Membantu membangun timeline aktivitas pengguna atau penyerang di sistem.
- Mengidentifikasi aplikasi atau skrip yang digunakan untuk persistensi, pergerakan lateral, atau eksfiltrasi data.
- Menunjukkan akses file atau eksekusi program dari lokasi yang tidak biasa (misalnya, folder temporer atau unduhan).
- Melengkapi bukti dari artefak lain seperti Prefetch, Amcache, ShimCache, dan log kejadian.
Menginterpretasikan Data UserAssist
Analisis UserAssist memerlukan tool forensik yang mampu mengekstrak, me-decode, dan menyajikan data dalam format yang mudah dibaca. Penyelidik akan fokus pada:
- Entri dengan execution count tinggi yang mungkin menunjukkan penggunaan rutin, atau count rendah dengan timestamp baru yang bisa mengindikasikan aktivitas baru atau jarang.
- Jalur eksekusi yang mencurigakan, seperti dari direktori sistem yang tidak seharusnya, removable drive, atau melalui jalur UNC jaringan.
- Timestamp yang cocok dengan periode kejadian insiden untuk memverifikasi aktivitas selama serangan.
Keterbatasan Potensial
Meskipun sangat berguna, UserAssist memiliki keterbatasan. Data ini dapat dihapus atau dimodifikasi oleh pengguna atau tool tertentu. Selain itu, ia tidak melacak semua jenis aktivitas, hanya yang berinteraksi melalui shell Windows dalam cara tertentu. Namun, kombinasinya dengan artefak lain sering kali menutupi keterbatasan ini.
UserAssist dalam Respons Insiden
Dalam respons insiden, data UserAssist sering menjadi salah satu sumber informasi pertama yang diperiksa untuk memahami apa yang terjadi di sistem. Kemampuannya untuk secara langsung menunjukkan eksekusi aplikasi dan akses file oleh pengguna membuatnya menjadi bukti kuat yang dapat dengan cepat mengarah pada identifikasi malware, tool penyerang, atau aktivitas mencurigakan lainnya. Investigasi yang efektif memanfaatkan UserAssist untuk membangun narasi kejadian yang akurat.
Sumber: https://securelist.com/userassist-artifact-forensic-value-for-incident-response/116911/