卡巴斯基研究员在亚洲开发了Cyber取证工具
亚洲的卡巴斯基研究员开发了一个开源工具,促进了网络攻击后从受感染的机器收集的证据和其他恶意软件艺术品。
叫做Bitscout,可通过GitHub提供的免费工具 - 将使调查人员能够远程收集重要数据而不会污染或丢失现场调查中的法医调查中的数据。
亚太地区卡巴斯基实验室全球研究和分析团队总监Vitaly Kamluk表示,该工具是不需要尽可能高效地分析安全事件。
他补充说,这越来越重要,因为对手在覆盖他们的轨道时变得更加先进和隐秘。
“但是所有费用的速度也不是答案,”他说。“我们需要确保证据未纳,以便可信赖,如果需要,可以在法庭上有资格使用。我找不到一个允许我们自由而轻松地实现所有这一切的工具 - 所以我决定建立一个。“
在大多数网络攻击中,受损系统的合法所有者通常同意合作,帮助安全研究人员找到有关攻击者的感染矢量或其他细节。
然而,对法医研究人员来说是一种长期关注的是,需要长距离收集关键证据,例如来自受感染的计算机的恶意软件样本,可能导致昂贵和延迟的调查。
攻击所需的时间越长,用户受到保护并且识别犯罪者之前的时间越长。然而,Kamluk表示,替代方案要么涉及昂贵的工具和专业知识。由于数据在计算机之间移动时,还存在污染或丢失证据的风险。
为确保取证证据没有篡改,BitScout会创建调查人员可以工作的受感染磁盘的虚拟副本。然后,调查人员可以将复杂的数据转移到实验室以进行更深的检查,以及在其他能力中扫描远程事件响应中的其他网络节点。
受感染系统的所有者还需要手动授权无法通过无法修改或重置对受感染磁盘的访问的调查人员访问哪些磁盘,防止任何潜在的数据丢失。
Bitscout的推出预计将缓解Kamluk所说的法医调查人员对古生物学家来说。
“虽然古生物学家从古代文明中挖掘恐龙和文物的遗体,并确定哪些碎片是连接的,而不是,卡巴斯基实验室专家通过在恶意软件样本后通过收集样品来调查攻击,然后与其他网络古社会论者分析,比较和分析。进一步揭示并理解了大规模的网络攻击,“他说。