Bezpłatne narzędzie umożliwiające zdalne gromadzenie dowodów po cyberatakach

Aby wyeliminować konieczność podróży odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzył proste narzędzie, przy pomocy którego można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone. BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany przez wszystkich specjalistów ds. cyberbezpieczeństwa.

cyberprzestępczość

W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami. 

W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.      

Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpieczeństwa staje się paląca, ponieważ sprawcy działają w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybkość za wszelką cenę również nie jest rozwiązaniem – musimy dopilnować, aby dowody były „nieskażone”, tak aby dochodzenia były wiarygodne, a wyniki kwalifikowały się do wykorzystania w razie konieczności w sądzie. Nie mogłem znaleźć narzędzia, które łatwo i bezpłatnie pozwalałoby to wszystko osiągnąć, dlatego postanowiłem wziąć sprawy w swoje ręce — powiedział Witalij Kamliuk, autor narzędzia.

Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej. 

Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania:

  • Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.
  • Zdalne asystowanie w trakcie wykonywania innych czynności (współdzielona sesja, w której badacz nie wykonuje żadnych czynności w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).
  • Przekazywanie złożonych danych do laboratorium w celu ich szczegółowego zbadania.
  • Zdalne skanowanie z użyciem reguł Yara lub systemów antywirusowych.
  • Wyszukiwanie i przeglądanie kluczy rejestru (automatyczne uruchamianie, działające usługi, podpięte urządzenia USB).
  • Zdalne wyodrębnianie plików (odzyskiwanie usuniętych plików).
  • Korygowanie zdalnego systemu po autoryzacji dostępu przez właściciela.

Zdalne skanowanie innych węzłów sieciowych (przydatne do zdalnej reakcji na incydent).

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

6479 More posts in News category
Recommended for you
cyberprzestępczość
Komputery kwantowe – nadzieja czy zagrożenie cyberbezpieczeństwa?

Wyścig do stworzenia pierwszego powszechnie stosowanego komputera kwantowego trwa - być może wkrótce poznamy producenta,...