Zdalne zbieranie dowodów po cyberataku - bezpłatne narzędzie

11-07-2017, 13:03

Badacz z Kaspersky Lab opracował bezpłatne narzędzie umożliwiające zdalne gromadzenie dowodów po cyberatakach. Przy pomocy prostego narzędzia można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone.

BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany przez wszystkich specjalistów ds. cyberbezpieczeństwa.

W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami.

W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.

Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej.

Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania:

  • Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.
  • Zdalne asystowanie w trakcie wykonywania innych czynności (współdzielona sesja, w której badacz nie wykonuje żadnych czynności w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).
  • Przekazywanie złożonych danych do laboratorium w celu ich szczegółowego zbadania.
  • Zdalne skanowanie z użyciem reguł Yara lub systemów antywirusowych.
  • Wyszukiwanie i przeglądanie kluczy rejestru (automatyczne uruchamianie, działające usługi, podpięte urządzenia USB).
  • Zdalne wyodrębnianie plików (odzyskiwanie usuniętych plików).
  • Korygowanie zdalnego systemu po autoryzacji dostępu przez właściciela.
  • Zdalne skanowanie innych węzłów sieciowych (przydatne do zdalnej reakcji na incydent).

Narzędzie jest dostępne bezpłatnie w repozytorium kodu GitHub.


Tematy pokrewne:  

tag Kaspersky Labtag cyberataktag BitScout
Komentarze
comments powered by Disqus
To warto przeczytać








fot. Photon








  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Lipiec 2017»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.