卡巴斯基實驗室開發了用於遠程收集網路攻擊後的證據

為了克服在發生網路攻擊後，安全調查人員需要長途跋涉去受感染計算機所在地收集證據的困難，一名卡巴斯基實驗室專家開發了一款簡單的工具，能夠遠程收集有關攻擊的重要數據，同時不存在污染或數據丟失風險。該工具被命名為BitScout，對遠程取證調查來說，相當於一把瑞士軍刀，可以對現場系統進行實時分析。該工具免費提供給所有調查人員使用。

在大多數網路攻擊中，系統的合法擁有者成為不明身份的肇事者的受害者。受害者通常願意合作，幫助安全研究人員找到感染途徑或其他有關攻擊者的詳情。但是，取證研究人員一直所面臨的一個難題就是要收集關鍵證據，例如從受感染計算機上獲得的惡意軟體樣本，經常需要長途跋涉，導致調查成本很高，而且經常會延誤調查。了解攻擊所花的時間越長，用戶得到保護等待的時間也越長，發現攻擊者所需的時間也相應變長。然而，還有一些替代方案可用，但是這些方案或者需要昂貴的工具以及專業知識才能使用，或者涉及在不同計算機之間轉移數據，可能造成污染風險或證據丟失的風險。

為了解決這一難題，卡巴斯基實驗室亞太區（APAC）全球研究和分析團隊總監Vitaly Kamluk開發了一款開源數字功能，能夠遠程收集關鍵的取證資料，通過網路或本地連接的存儲設備獲取整個磁碟鏡像，或者遠程協助進行惡意軟體事故處理。通過該工具，可以遠程或本地查看和分析證據數據，同時利用可靠的基於容器的隔離技術，確保源數據不變。

Vitaly Kamluk表示：「高效和快速對安全事故分析正在變得越來越重要，因為對手的發展也在不斷的越來越先進和隱蔽。但是，不惜成本達到最快的速度也並不實際，我們需要確保證據不被更改，這樣調查結果才是值得信賴的，可以在法庭上用作證據。我沒有找到能夠讓我可以自己和輕鬆地實現這些功能的工具，所以我決定自己開發一個。」

卡巴斯基實驗室專家同全球的執法機關緊密合作，幫助對網路安全事件進行技術分析和調查。他們對於執法機關人員在打擊當今網路犯罪時所面臨的挑戰有獨到的見解。當今的網路安全環境非常複雜，研究人員需要能夠適應他們工作需求的工具。BitScout就是這一種工具。它能夠根據調查人員的特殊需求進行調整，並可通過附加功能和定製軟體進行改進和升級。最重要的是，該工具是免費的，基於開源解決方案的，並且是完全透明的：完全不依賴於採用了版權代碼的第三方工具，所以安全專家可以使用BitScout開源代碼打造自己的瑞士軍刀用於數字取證。

BitScout的功能列表包括：

·即使未受培訓的員工，也可以使用它獲取磁碟鏡像

·可隨時對員工進行培訓（共享的只讀終端會話）

·可將複雜的數據碎片上傳到實驗室進行深度分析

·可對離線系統進行遠程Yara或反病毒掃描（對於檢測rootkit非常重要）

·搜索和查看註冊表鍵值（了解autoruns、服務和插入的USB設備）

·遠程文件雕刻（恢復被刪除文件）

·如果系統所有者授權訪問，修復遠程系統

·遠程掃描其他網路節點（對於遠程事故響應非常有用）

該工具可通過GitHub代碼庫獲取：https://github.com/vitaly-kamluk/bitscout

關於卡巴斯基實驗室

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！