• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    卡巴斯基开发用于远程收集网络攻击后的证据

    来源:Yesky天极新闻 2017-07-13 10:03:11 网络攻击 证据 金融安全
         来源:Yesky天极新闻     2017-07-13 10:03:11

    核心提示为了克服在发生网络攻击后,安全调查人员需要长途跋涉去受感染计算机所在地收集证据的困难,一名卡巴斯基实验室专家开发了一款简单的工具,能够远程收集有关攻击的重要数据。

      为了克服在发生网络攻击后,安全调查人员需要长途跋涉去受感染计算机所在地收集证据的困难,一名卡巴斯基实验室专家开发了一款简单的工具,能够远程收集有关攻击的重要数据,同时不存在污染或数据丢失风险。该工具被命名为BitScout,对远程取证调查来说,相当于一把瑞士军刀,可以对现场系统进行实时分析。该工具免费提供给所有调查人员使用。

    卡巴斯基开发用于远程收集网络攻击后的证据

      在大多数网络攻击中,系统的合法拥有者成为不明身份的肇事者的受害者。受害者通常愿意合作,帮助安全研究人员找到感染途径或其他有关攻击者的详情。但是,取证研究人员一直所面临的一个难题就是要收集关键证据,例如从受感染计算机上获得的恶意软件样本,经常需要长途跋涉,导致调查成本很高,而且经常会延误调查。了解攻击所花的时间越长,用户得到保护等待的时间也越长,发现攻击者所需的时间也相应变长。然而,还有一些替代方案可用,但是这些方案或者需要昂贵的工具以及专业知识才能使用,或者涉及在不同计算机之间转移数据,可能造成污染风险或证据丢失的风险。

      为了解决这一难题,卡巴斯基实验室亚太区(APAC)全球研究和分析团队总监Vitaly Kamluk开发了一款开源数字功能,能够远程收集关键的取证资料,通过网络或本地连接的存储设备获取整个磁盘镜像,或者远程协助进行恶意软件事故处理。通过该工具,可以远程或本地查看和分析证据数据,同时利用可靠的基于容器的隔离技术,确保源数据不变。

      Vitaly Kamluk表示:“高效和快速对安全事故分析正在变得越来越重要,因为对手的发展也在不断的越来越先进和隐蔽。但是,不惜成本达到最快的速度也并不实际,我们需要确保证据不被更改,这样调查结果才是值得信赖的,可以在法庭上用作证据。我没有找到能够让我可以自己和轻松地实现这些功能的工具,所以我决定自己开发一个。”

      卡巴斯基实验室专家同全球的执法机关紧密合作,帮助对网络安全事件进行技术分析和调查。他们对于执法机关人员在打击当今网络犯罪时所面临的挑战有独到的见解。当今的网络安全环境非常复杂,研究人员需要能够适应他们工作需求的工具。BitScout就是这一种工具。它能够根据调查人员的特殊需求进行调整,并可通过附加功能和定制软件进行改进和升级。最重要的是,该工具是免费的,基于开源解决方案的,并且是完全透明的:完全不依赖于采用了版权代码的第三方工具,所以安全专家可以使用BitScout开源代码打造自己的瑞士军刀用于数字取证。

      BitScout的功能列表包括:

      ·即使未受培训的员工,也可以使用它获取磁盘镜像

      ·可随时对员工进行培训(共享的只读终端会话)

      ·可将复杂的数据碎片上传到实验室进行深度分析

      ·可对离线系统进行远程Yara或反病毒扫描(对于检测rootkit非常重要)

      ·搜索和查看注册表键值(了解autoruns、服务和插入的USB设备)

      ·远程文件雕刻(恢复被删除文件)

      ·如果系统所有者授权访问,修复远程系统

      ·远程扫描其他网络节点(对于远程事故响应非常有用)

      该工具可通过GitHub代码库获取:https://github.com/vitaly-kamluk/bitscout

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定