Aby wyeliminować konieczność podróży odbywanych przez badaczy w celu zebrania dowodów z zainfekowanych komputerów po cyberataku, ekspert z Kaspersky Lab stworzył proste narzędzie, przy pomocy którego można zdalnie zebrać istotne dane bez ryzyka, że zostaną zainfekowane lub utracone. BitScout — bo taką nazwę nosi to narzędzie — to swoisty „szwajcarski scyzoryk” do przeprowadzania zdalnego dochodzenia kryminalistycznego aktywnych systemów, który może być bezpłatnie wykorzystywany
przez wszystkich specjalistów ds. cyberbezpieczeństwa.
W większości cyberataków właściciele zaatakowanych systemów padają ofiarą niezidentyfikowanych sprawców. Ofiary zwykle zgadzają się na współpracę i pomagają specjalistom zidentyfikować wektor infekcji lub inne dane dotyczące przestępców. Jednak badacze bezpieczeństwa od dawna niepokoją się tym, że konieczność odbywania długich podróży w celu zebrania z zainfekowanych komputerów istotnych informacji, takich jak próbki szkodliwego oprogramowania, może spowodować opóźnienia w dochodzeniach, zwiększyć ich koszty, a w niektórych przypadkach nawet uniemożliwić zebranie materiału dowodowego. Im dłużej zajmuje zrozumienie ataku, tym dłużej użytkownicy pozostają bez ochrony, a sprawcy – niezidentyfikowani. Jednak alternatywy wiążą się z drogimi narzędziami oraz umiejętnością ich obsługi lub ryzykiem infekcji czy też utraty dowodów podczas przesyłania ich między komputerami.
W celu rozwiązania tego problemu Witalij Kamliuk, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky Lab w regionie Azji i Pacyfiku, stworzył otwarte narzędzie BitScout, przy pomocy którego można zdalnie zebrać kluczowe materiały kryminalistyczne, uzyskać pełne obrazy dysku za pośrednictwem sieci lub podłączonego lokalnie nośnika pamięci, lub po prostu zdalnie asystować w obsłudze incydentu dotyczącego szkodliwego oprogramowania. Dane dowodowe mogą być przeglądane i analizowane zdalnie lub lokalnie, przy czym magazyn danych źródłowych pozostanie nietknięty dzięki skutecznej izolacji opartej na mechanizmie konteneryzacji.
– Potrzeba jak najsprawniejszej i najszybszej analizy incydentów naruszenia bezpieczeństwa staje się paląca, ponieważ sprawcy działają w sposób coraz bardziej zaawansowany i ukradkowy. Jednak szybkość za wszelką cenę również nie jest rozwiązaniem – musimy dopilnować, aby dowody były „nieskażone”, tak aby dochodzenia były wiarygodne, a wyniki kwalifikowały się do wykorzystania w razie konieczności w sądzie. Nie mogłem znaleźć narzędzia, które łatwo i bezpłatnie pozwalałoby to wszystko osiągnąć, dlatego postanowiłem wziąć sprawy w swoje ręce — powiedział Witalij Kamliuk, autor narzędzia.
Eksperci z Kaspersky Lab ściśle współpracują z organami ścigania na całym świecie, pomagając im w analizie technicznej w ramach cyberdochodzeń. Dzięki temu uzyskują unikatową wiedzę dotyczącą wyzwań, z jakimi mierzą się te organy w walce ze współczesną cyberprzestępczością. Krajobraz zagrożeń jest obecnie tak złożony i wyrafinowany, że prowadzący dochodzenia potrzebują narzędzi, które można dostosowywać i skalować do zadań. BitScout spełnia te kryteria. Narzędzie to może zostać dostosowane do określonych potrzeb osób przeprowadzających dochodzenie, jak również udoskonalone i uaktualnione o dodatkowe funkcje oraz niestandardowe oprogramowanie. Najistotniejsze jest jednak to, że jest ono dostępne bezpłatnie, opiera się na rozwiązaniach open-source i jest w pełni przejrzyste: zamiast polegać na narzędziach osób trzecich o zastrzeżonym kodzie, eksperci mogą wykorzystać otwarty kod narzędzia Bitscout w celu stworzenia własnego narzędzia do kryminalistyki cyfrowej.
Narzędzie BitScout pozwala badaczom ds. cyberbezpieczeństwa wykonywać następujące działania:
- Uzyskiwanie obrazu dysku, nawet przez niewyszkolony personel.
- Zdalne asystowanie w trakcie wykonywania innych czynności (współdzielona sesja, w której badacz nie wykonuje żadnych czynności w badanym systemie, a jedynie pomaga obecnemu na miejscu personelowi).
- Przekazywanie złożonych danych do laboratorium w celu ich szczegółowego zbadania.
- Zdalne skanowanie z użyciem reguł Yara lub systemów antywirusowych.
- Wyszukiwanie i przeglądanie kluczy rejestru (automatyczne uruchamianie, działające usługi, podpięte urządzenia USB).
- Zdalne wyodrębnianie plików (odzyskiwanie usuniętych plików).
- Korygowanie zdalnego systemu po autoryzacji dostępu przez właściciela.
- Zdalne skanowanie innych węzłów sieciowych (przydatne do zdalnej reakcji na incydent).