„Касперски лаб“ креирао алат за даљинско прикупљање доказа након сајбер напада

У великом броју сајбер напада, власници угрожених система постају жртве неидентификованих преступника. Жртве обично пристају на сарадњу и помажу сигурносним истражитељима да пронађу носиоца „инфекције“ или друге детаље о нападачима.

Потреба да путују ради сакупљања кључних доказа као што су узорци малвера из инфицираних рачунара, већ дуже време је брига форензичких истражитеља, због повећаних трошкова и продужавања истраге.

Што је више времена потребно да се разуме напад, то ће више времена бити неопходно да се корисницима обезбеди заштита, а починиоци идентификују. Међутим, алтернативе подразумевају или скупе алате и неопходно знање да се њима управља или ризик од контаминирања или губитка доказа приликом преношења са рачунара на рачунар.

Како би решио проблем, Виталиј Камлук, директор азијског тима за глобална истраживања и анализу у компанији „Касперскy лаб“, креирао је бесплатан дигитални алат који има способност да сакупи кључне форензичке материјале са велике удаљености, добије целокупну слику диска путем мреже или локално повезаних меморија, или да једноставно на даљину асистира у решавању инцидената са малвером.

Подаци са доказима могу бити прегледани и анализирани на даљину или локално, док остали подаци остају нетакнути захваљујући поузданој изолацији.

„Потреба за брзом и ефикасном анализом сигурносних инцидената је све већа, с обзиром на то да су противници све напреднији и јачи. Али, брзина није кључни параметар у истрази, већ сигурност да су докази чврсти и да се истрази може веровати, као и да добијени резултати, ако је потребно, могу бити употребљени на суду. Нисам могао да пронађем алат који нам је омогућавао да бесплатно и једноставно постигнемо све ово, па сам одлучио да га направим“, објаснио је Виталиј Камлук.

Стручњаци из компаније „Касперскy лаб“ блиско сарађују са полицијским истражитељима широм света како би им помогли у техничким анализама сајбер злочина. Ово им пружа јединствени увид у изазове са којима се запослени у полицији суочавају када се боре са модерним сајбер криминалом.

Свет сајбер криминала је данас толико комплексан и префињен да су истражитељима потребни алати који могу да се прилагоде захтевима посла.

"BitScout" је добар пример оваквог алата. Може се прилагодити специфичним потребама истражитеља, али и бити побољшан и надограђен додатним карактеристикама и посебним софтвером.

Оно што је најважније, алат је бесплатан и заснован на бесплатно доступним решењима, а такође је потпуно транспарентан: уместо да се ослањају на алате трећих страна за које су потребни посебни кодови, стручњаци могу да користе "BitScout" код бесплатно како би креирали свој „швајцарски ножић“ за потребе дигиталне форензике.

Карактеристике "BitScout" решења подразумевају:
– Преглед диска који могу обављати и необучени корисници,
– Обучавање људи у покрету,
– Пребацивање комплексних података на рачунар ради дубљег истраживања,
– Даљинско "Yara" или АВ скенирање офлајн система (кључно у борби против руткитова),
– Претраживање и преглед регистрационих кључева (ауторaн, услуге, прикључених УСБ уређаја),
– Даљински опоравак фајлова (повратак изгубљених фајлова),
– Опоравак удаљених система ако је власник одобрио приступ,
– Даљинско скенирање мрежних чворова.

Овај алат је бесплатно доступан на следећој страници: https://github.com/vitaly-kamluk/bitscout