Software-tool voor op afstand verzamelen bewijsmateriaal na cyberaanvallen

  1. 6 jul 2017
  2. 0 reacties

kasperskylab_200x46

Onderzoekers moeten regelmatig verre reizen maken om na een cyberaanval bewijsmateriaal te verzamelen op geïnfecteerde computers. Om dit op te lossen, heeft een expert van Kaspersky Lab een eenvoudige tool ontwikkeld, BitScout. Deze kan op afstand essentiële data verzamelen, zonder het risico dat gegevens geïnfecteerd raken of verloren gaan. BitScout kan als het ware een Zwitsers zakmes bouwen voor remote forensisch onderzoek bij live systemen en wordt gratis beschikbaar gesteld aan alle onderzoekers.

Bij de meeste cyberaanvallen vallen rechtmatige eigenaren van gecompromitteerde systemen ten prooi aan niet-geïdentificeerde daders. Slachtoffers besluiten meestal samen te werken met beveiligingsonderzoekers om hen te helpen de infectievector of andere details over de aanvallers te vinden. Het is onder forensische onderzoekers echter al langer een punt van zorg dat ze lange afstanden moeten reizen om cruciaal bewijsmateriaal te verzamelen, zoals malware samples van geïnfecteerde computers. Dit kan leiden tot dure en vertraagde onderzoeken. Hoe langer het duurt voordat men een aanval heeft doorgrond, hoe langer het duurt voordat gebruikers beschermd zijn en de daders geïdentificeerd. Voor alternatieve oplossingen waren echter ofwel dure tools en kennis over het gebruik ervan nodig, of bestond het risico op besmetting of verlies door verplaatsing van data tussen computers.

Om dit probleem op te lossen, heeft Vitaly Kamluk, Director van Kaspersky Lab’s Global Research & Analysis Team in de regio Asia Pacific (APAC), een open-source digitale tool gecreëerd. Deze kan op afstand essentieel forensisch materiaal verzamelen, volledige schijfimages verkrijgen via het netwerk of lokaal verbonden opslagapparaten, of gewoon op afstand helpen bij het afhandelen van malware-incidenten. Bewijsmateriaal kan op afstand of ter plaatse worden bekeken en geanalyseerd terwijl de gegevensopslag bij de bron intact blijft via betrouwbare, container-based isolatie.

“De noodzaak om beveiligingsincidenten zo efficiënt en snel mogelijk te analyseren wordt steeds belangrijker, aangezien tegenstanders steeds geavanceerder en heimelijker te werk gaan. Snelheid tegen elke prijs is echter niet het antwoord - we moeten ervoor zorgen dat het bewijs ongerept is, zodat onderzoeken betrouwbaar zijn en resultaten, indien nodig, geschikt zijn voor gebruik bij de rechtbank. Ik kon geen tool vinden waarmee we dat allemaal onbelemmerd en gemakkelijk konden bewerkstelligen, dus besloot ik er zelf een te bouwen", aldus Vitaly Kamluk.

Deskundigen van Kaspersky Lab werken nauw samen met politiediensten over de hele wereld en helpen hen technische analyses uit te voeren bij cyberonderzoeken. Dit geeft hen uniek inzicht in de uitdagingen waarmee wetshandhavers worden geconfronteerd bij de bestrijding van moderne cybercriminaliteit. Het cyberbeveiligingslandschap is tegenwoordig zo complex en geavanceerd dat onderzoekers hulpmiddelen nodig hebben die zich kunnen aanpassen en opschalen naar de eisen van de taak in kwestie. BitScout is hier een goed voorbeeld van. Het kan worden aangepast aan de specifieke behoeften van een onderzoeker en is verbeterd en uitgebreid met extra functies en aangepaste software. Bovenal is het gratis, gebaseerd op open source-oplossingen en volledig transparant. In plaats van te vertrouwen op tools van derden (met hun eigen code), kunnen experts de BitScout open source-code gebruiken om hun eigen Zwitserse zakmes te creëren voor digitaal forensisch onderzoek.

Tot de lijst van BitScout-functies behoren:

  • Schijfimage-acquisitie, zelfs met ongetraind personeel;
  • Onderweg trainen van mensen (gedeelde view-only terminalsessie);
  • Overzetten van complexe data-onderdelen naar het lab voor meer diepgaande inspectie;
  • Op afstand uitvoeren van Yara of AV scans van offline systemen (essentieel tegen rootkits);
  • Zoeken en bekijken van registersleutels (autoruns, services, aangesloten USB-apparaten);
  • File carving op afstand (herstellen van verwijderde bestanden);
  • Herstel van het externe systeem na toegangsautorisatie door de eigenaar;
  • Op afstand scannen van andere netwerkknooppunten (handig voor incidentrespons op afstand).

De tool is gratis beschikbaar via het GitHub code-archief: https://github.com/vitaly-kamluk/bitscout