Badacz z Kaspersky Lab opracował bezpłatne narzędzie do zdalnego gromadzenia dowodów po cyberatakach


Badacz z Kaspersky Lab opracował bezpłatne narzędzie do zdalnego gromadzenia dowodów po cyberatakach
2017-07-06
Aby wyeliminować konieczność podróży odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzył proste narzędzie, przy pomocy którego można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone.

BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany przez wszystkich specjalistów ds. cyberbezpieczeństwa.

W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami. 

W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.      

Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpieczeństwa staje się paląca, ponieważ sprawcy działają w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybkość za wszelką cenę również nie jest rozwiązaniem – musimy dopilnować, aby dowody były „nieskażone”, tak aby dochodzenia były wiarygodne, a wyniki kwalifikowały się do wykorzystania w razie konieczności w sądzie. Nie mogłem znaleźć narzędzia, które łatwo i bezpłatnie pozwalałoby to wszystko osiągnąć, dlatego postanowiłem wziąć sprawy w swoje ręce — powiedział Witalij Kamliuk, autor narzędzia.

Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej. 

Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania:

·       Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.

·       Zdalne asystowanie w trakcie wykonywania innych czynności (współdzielona sesja, w której badacz nie wykonuje żadnych czynności w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).

·       Przekazywanie złożonych danych do laboratorium w celu ich szczegółowego zbadania.

·       Zdalne skanowanie z użyciem reguł Yara lub systemów antywirusowych.

·       Wyszukiwanie i przeglądanie kluczy rejestru (automatyczne uruchamianie, działające usługi, podpięte urządzenia USB).

·       Zdalne wyodrębnianie plików (odzyskiwanie usuniętych plików).

·       Korygowanie zdalnego systemu po autoryzacji dostępu przez właściciela.

·       Zdalne skanowanie innych węzłów sieciowych (przydatne do zdalnej reakcji na incydent).

Narzędzie jest dostępne bezpłatnie w repozytorium kodu GitHub: https://github.com/vitaly-kamluk/bitscout.

Szczegóły techniczne dotyczące narzędzia BitScout są dostępne na stronie http://r.kaspersky.pl/T4MAb.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl