Cyberbezpiecze?stwo

Gromadzenie dowodów po cyberatakach

Bartosz Martyka
Bartosz Martyka
Avatar photo
ByBartosz Martyka
Posiada wieloletnie do?wiadczenie w PR, przedsi?biorca, by?y reseller i programista. Specjalizuje si? w zarz?dzaniu strategicznym.
4 Min
dane

Aby wyeliminowa? konieczno?? podró?y odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzy? proste narz?dzie, przy pomocy którego mo?na zdalnie zebra? istotne dane bez ryzyka, ?e zostan? zainfekowane lub utracone. BitScout — bo tak? nazw? nosi to narz?dzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który mo?e by? bezp?atnie wykorzystywany przez wszystkich specjalistów ds. cyberbezpiecze?stwa.

W wi?kszo?ci cyberataków w?a?ciciele zaatakowanych systemów padaj? ofiar? niezidentyfikowanych sprawców. Ofiary zwykle zgadzaj? si? na wspó?prac? i pomagaj? specjalistom zidentyfikowa? wektor infekcji lub inne dane dotycz?ce przest?pców. Jednak badacze bezpiecze?stwa od dawna niepokoj? si? tym, ?e konieczno?? odbywania d?ugich podró?y w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, mo?e spowodowa? opó?nienia w dochodzeniach, zwi?kszy? ich koszty, a w niektórych przypadkach nawet uniemo?liwi? zebranie materia?u dowodowego. Im d?u?ej zajmuje zrozumienie ataku, tym d?u?ej u?ytkownicy pozostaj? bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wi??? si? z drogimi narz?dziami oraz umiej?tno?ci? ich obs?ugi lub ryzykiem infekcji czy te? utraty dowodów podczas przesy?ania ich mi?dzy komputerami.

W celu rozwi?zania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespo?u ds. Bada? i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzy? otwarte narz?dzie BitScout, przy pomocy którego mo?na zdalnie zebra? kluczowe materia?y kryminalistyczne, uzyska? pe?ne obrazy dysku za po?rednictwem sieci lub pod??czonego lokalnie no?nika pami?ci, lub po prostu zdalnie asystowa? w obs?udze incydentu dotycz?cego szkodliwego oprogramowania. Dane dowodowe mog? by? przegl?dane i analizowane zdalnie lub lokalnie, przy czym magazyn danych ?ród?owych pozostanie nietkni?ty dzi?ki skutecznej izolacji opartej na mechanizmie konteneryzacji.

Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpiecze?stwa staje si? pal?ca, poniewa? sprawcy dzia?aj? w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybko?? za wszelk? cen? równie? nie jest rozwi?zaniem – musimy dopilnowa?, aby dowody by?y „nieska?one”, tak aby dochodzenia by?y wiarygodne, a wyniki kwalifikowa?y si? do wykorzystania w razie konieczno?ci w s?dzie. Nie mog?em znale?? narz?dzia, które ?atwo i bezp?atnie pozwala?oby to wszystko osi?gn??, dlatego postanowi?em wzi?? sprawy w swoje r?ce — powiedzia? Witalij Kamliuk, autor narz?dzia.

Eksperci z Kaspersky Lab ?ci?le wspó?pracuj? z organami ?cigania na ca?ym ?wiecie, pomagaj?c im w analizie technicznej w ramach cyberdochodze?. Dzi?ki temu uzyskuj? unikatow? wiedz? dotycz?c? wyzwa?, z jakimi mierz? si? te organy w walce ze wspó?czesn? cyberprzest?pczo?ci?. Krajobraz zagro?e? jest obecnie tak z?o?ony i wyrafinowany, ?e prowadz?cy dochodzenia potrzebuj? narz?dzi, które mo?na dostosowywa? i skalowa? do zada?. BitScout spe?nia te kryteria. Narz?dzie to mo?e zosta? dostosowane do okre?lonych potrzeb osób przeprowadzaj?cych dochodzenie, jak równie? udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, ?e jest ono dost?pne bezp?atnie, opiera si? na rozwi?zaniach open-source i jest w pe?ni przejrzyste: zamiast polega? na narz?dziach osób trzecich o zastrze?onym kodzie, eksperci mog? wykorzysta? otwarty kod narz?dzia Bitscout w celu stworzenia w?asnego narz?dzia do kryminalistyki cyfrowej.

Narz?dzie BitScout pozwala badaczom ds. cyberbezpiecze?stwa wykonywa? nast?puj?ce dzia?ania:

  • Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.
  • Zdalne asystowanie w trakcie wykonywania innych czynno?ci (wspó?dzielona sesja, w której badacz nie wykonuje ?adnych czynno?ci w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).
  • Przekazywanie z?o?onych danych do laboratorium w celu ich szczegó?owego zbadania.
  • Zdalne skanowanie z u?yciem regu? Yara lub systemów antywirusowych.
  • Wyszukiwanie i przegl?danie kluczy rejestru (automatyczne uruchamianie, dzia?aj?ce us?ugi, podpi?te urz?dzenia USB).
  • Zdalne wyodr?bnianie plików (odzyskiwanie usuni?tych plików).
  • Korygowanie zdalnego systemu po autoryzacji dost?pu przez w?a?ciciela.
  • Zdalne skanowanie innych w?z?ów sieciowych (przydatne do zdalnej reakcji na incydent).

Narz?dzie jest dost?pne bezp?atnie w repozytorium kodu GitHub: https://github.com/vitaly-kamluk/bitscout.

Ad imageAd image

Szczegó?y techniczne dotycz?ce narz?dzia BitScout s? dost?pne na stronie http://r.kaspersky.pl/T4MAb

TEMATY:
Udostępnij

Biuletyn

Dołącz do najlepszego biuletynu w branży ICT!

Subskrybując Biuletyn Brandsit akceptujesz naszą politykę prywatności.

Turcja
Kana? sprzeda?y

Polski integrator Transition Technologies PSC wchodzi do Turcji. Celuje w kluczowe sektory

Klaudia Ciesielska
branża It, kanał sprzedaży, biznes
Rozwój biznesu

3 siły, które na zawsze zmieniły rolę CIO

Bartosz Martyka
AI, haker
Cyberbezpiecze?stwo

AI jako haker? Naukowcy zbadali jej możliwości i wyniki są niepokojące

Izabela Myszkowska
Big data, dane, cyfryzacja, data fabric
Technologia

Silniki inteligencji danych – jak Data Fabric, Hiperautomatyzacja i MLOps przeksztaÅ‚cajÄ… teoriÄ™ w praktykÄ™

Klaudia Ciesielska