Kaspersky Lab tạo ra công cụ miễn phí để thu thập bằng chứng từ xa sau những cuộc tấn công mạng

Một chuyên gia của Kaspersky Lab đã phát triển một công cụ hết sức đơn giản có thể thu thập dữ liệu quan trọng từ xa mà không có nguy cơ lây nhiễm hoặc mất mát.

Công cụ mang tên BitScout, được xây dựng để điều tra từ xa các hệ thống trực tuyến và miễn phí cho tất cả nhà điều tra có thể sử dụng mà không cần di chuyển xa để thu thập bằng chứng các máy tính bị lây nhiễm sau cuộc tấn công mạng. Do đó thời gian điều tra có thể được rút ngắn và linh hoạt hơn.

Trong hầu hết các cuộc tấn công mạng, chủ sở hữu hợp pháp của các hệ thống bị xâm nhập là nạn nhân của những thủ phạm không xác định. Nạn nhân thường đồng ý hợp tác và giúp các nhà nghiên cứu bảo mật tìm ra cách thức lây nhiễm hoặc các chi tiết khác về kẻ tấn công. Tuy nhiên, các nhà nghiên cứu cho rằng việc di chuyển khoảng cách xa để thu thập các bằng chứng quan trọng như các mẫu phần mềm độc hại từ các máy tính bị nhiễm có thể dẫn đến các cuộc điều tra tốn kém và trì trệ. Càng mất nhiều thời gian để tìm hiểu về một cuộc tấn công thì càng mất nhiều thời gian hơn trước khi người dùng được bảo vệ và xác định được thủ phạm. Tuy nhiên, các phương án thay thế đều cần đến các công cụ đắt tiền và kiến thức về cách vận hành chúng hoặc nguy cơ lây nhiễm hay làm mất bằng chứng bằng việc di chuyển nó giữa các máy tính.

Để giải quyết vấn đề này, ông Vitaly Kamluk, Giám đốc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky Lab ở Châu Á Thái Bình Dương (APAC) đã tạo ra một công cụ kỹ thuật số nguồn mở có thể thu thập từ xa các tài liệu pháp y quan trọng, thu được hình ảnh đĩa toàn bộ thông qua mạng hoặc lưu trữ đính kèm cục bộ, hoặc đơn giản là hỗ trợ từ xa trong việc xử lý sự cố phần mềm độc hại. Dữ liệu bằng chứng có thể được xem xét và phân tích từ xa hoặc cục bộ trong khi lưu trữ dữ liệu nguồn vẫn còn nguyên vẹn.

 “Sự cần thiết phải phân tích các sự cố an ninh một cách hiệu quả và nhanh chóng nhất ngày càng quan trọng, vì tội phạm mạng ngày càng tiến bộ và thận trọng. Nhanh chóng không thôi cũng chưa phải là câu trả lời, chúng ta cần phải chắc chắn rằng chứng cứ không bị lộ để các cuộc điều tra trở nên đáng tin và kết quả có thể đủ điều kiện để sử dụng tại tòa nếu cần. Tôi không thể tìm được một công cụ nào cho phép chúng ta làm điều đó một cách đơn giản và dễ dàng, vì thế tôi quyết định tự tạo ra nó”, ông Vitaly Kamluk cho biết.

Các chuyên gia của Kaspersky Lab hợp tác chặt chẽ với các cơ quan hành pháp khắp thế giới để giúp phân tích kỹ thuật điều tra mạng. Điều này cho họ cái nhìn sâu sắc về những thách thức khi chiến đấu chống tội phạm mạng hiện đại. Nền tảng an ninh mạng hiện nay rất phức tạp và tinh vi yêu cầu các nhà điều tra cần những công cụ có thể thích nghi và mở rộng theo yêu cầu của công việc. BitScout là một ví dụ hoàn hảo cho điều này. Nó có thể được điều chỉnh theo yêu cầu cụ thể của một điều tra viên và cải tiến, nâng cấp với các tính năng bổ sung và phần mềm tuỳ chỉnh. Quan trọng nhất là nó được cung cấp miễn phí, dựa trên các giải pháp nguồn mở và hoàn toàn minh bạch: thay vì dựa vào các công cụ của bên thứ ba bằng mã độc quyền, các chuyên gia có thể sử dụng mã nguồn mở Bitscout để xây dựng công cụ đa dụng cho điều tra số.

Giao diện chính của BitScout

Danh sách các tính năng BitScout bao gồm:

• Thu được hình ảnh ổ đĩa thậm chí với nhân viên không chuyên
• Chuyển các mẩu dữ liệu phức tạp sang phòng thí nghiệm để kiểm tra sâu hơn
• Yara hoặc AV quét từ xa các hệ thống ngoại tuyến (Cần thiết đối với rootkit)
• Tìm kiếm và xem các chìa khóa đăng ký (autoruns, dịch vụ, thiết bị cắm USB)
• Khắc phục tập tin từ xa (phục hồi các tập tin đã xóa)
• Sửa chữa hệ thống từ xa nếu chủ sở hữu cho phép quyền truy cập
• Quét từ xa các nút mạng khác (hữu ích cho phản hồi sự cố từ xa)

Công cụ này được cung cấp miễn phí tại kho mã GitHub: https://github.com/vitaly-kamluk/bitscout

Theo Kaspersky Lab