互联网 频道

卡巴斯基实验室开发了用于远程收集网络攻击后的证据

  【IT168 厂商动态】为了克服在发生网络攻击后,安全调查人员需要长途跋涉去受感染计算机所在地收集证据的困难,一名卡巴斯基实验室专家开发了一款简单的工具,能够远程收集有关攻击的重要数据,同时不存在污染或数据丢失风险。该工具被命名为BitScout,对远程取证调查来说,相当于一把瑞士军刀,可以对现场系统进行实时分析。该工具免费提供给所有调查人员使用。

  

  在大多数网络攻击中,系统的合法拥有者成为不明身份的肇事者的受害者。受害者通常愿意合作,帮助安全研究人员找到感染途径或其他有关攻击者的详情。但是,取证研究人员一直所面临的一个难题就是要收集关键证据,例如从受感染计算机上获得的恶意软件样本,经常需要长途跋涉,导致调查成本很高,而且经常会延误调查。了解攻击所花的时间越长,用户得到保护等待的时间也越长,发现攻击者所需的时间也相应变长。然而,还有一些替代方案可用,但是这些方案或者需要昂贵的工具以及专业知识才能使用,或者涉及在不同计算机之间转移数据,可能造成污染风险或证据丢失的风险。

  为了解决这一难题,卡巴斯基实验室亚太区(APAC)全球研究和分析团队总监Vitaly Kamluk开发了一款开源数字功能,能够远程收集关键的取证资料,通过网络或本地连接的存储设备获取整个磁盘镜像,或者远程协助进行恶意软件事故处理。通过该工具,可以远程或本地查看和分析证据数据,同时利用可靠的基于容器的隔离技术,确保源数据不变。

  Vitaly Kamluk表示:“高效和快速对安全事故分析正在变得越来越重要,因为对手的发展也在不断的越来越先进和隐蔽。但是,不惜成本达到最快的速度也并不实际,我们需要确保证据不被更改,这样调查结果才是值得信赖的,可以在法庭上用作证据。我没有找到能够让我可以自己和轻松地实现这些功能的工具,所以我决定自己开发一个。”

  卡巴斯基实验室专家同全球的执法机关紧密合作,帮助对网络安全事件进行技术分析和调查。他们对于执法机关人员在打击当今网络犯罪时所面临的挑战有独到的见解。当今的网络安全环境非常复杂,研究人员需要能够适应他们工作需求的工具。BitScout就是这一种工具。它能够根据调查人员的特殊需求进行调整,并可通过附加功能和定制软件进行改进和升级。最重要的是,该工具是免费的,基于开源解决方案的,并且是完全透明的:完全不依赖于采用了版权代码的第三方工具,所以安全专家可以使用BitScout开源代码打造自己的瑞士军刀用于数字取证。

  BitScout的功能列表包括:

  ·即使未受培训的员工,也可以使用它获取磁盘镜像

  ·可随时对员工进行培训(共享的只读终端会话)

  ·可将复杂的数据碎片上传到实验室进行深度分析

  ·可对离线系统进行远程Yara或反病毒扫描(对于检测rootkit非常重要)

  ·搜索和查看注册表键值(了解autoruns、服务和插入的USB设备)

  ·远程文件雕刻(恢复被删除文件)

  ·如果系统所有者授权访问,修复远程系统

  ·远程扫描其他网络节点(对于远程事故响应非常有用)

  该工具可通过GitHub代码库获取:https://github.com/vitaly-kamluk/bitscout

  关于卡巴斯基实验室

  卡巴斯基实验室是一家成立于1997年的全球网络安全公司,到2017年,成立已经20年。卡巴斯基实验室不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基实验室技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

0
相关文章