Kaspersky Lab tạo ra công cụ theo vết, điều tra hacker từ xa

Thay vì phải trực tiếp thu thập dữ liệu từ máy tính bị tấn công mạng, giờ đây người ta có thể thu thập thông tin và điều tra bọn tội phạm từ xa.

Nhằm hạn chế việc các điều tra viên phải di chuyển xa để thu thập bằng chứng từ các máy tính bị lây nhiễm mã độc sau các cuộc tấn công mạng, một chuyên gia của Kaspersky Lab đã phát triển một công cụ đơn giản giúp thu thập dữ liệu quan trọng từ xa với tên gọi BitScout.

Kaspersky Lab tạo ra công cụ theo vết, điều tra hacker từ xa - 1

Vitaly Kamluk - Giám đốc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab.

Theo hãng bảo mật của Nga, trong hầu hết các cuộc tấn công mạng, nạn nhân thường đồng ý hợp tác và giúp các nhà nghiên cứu tìm ra cách thức lây nhiễm hoặc các chi tiết khác về kẻ tấn công. Tuy nhiên, các nhà nghiên cứu cho rằng việc di chuyển một đoạn đường xa để thu thập các bằng chứng thường tốn kém. Hơn nữa, càng mất nhiều thời gian để tìm hiểu về một cuộc tấn công thì càng mất nhiều thời gian hơn trước khi người dùng được bảo vệ và xác định được thủ phạm.

Để giải quyết vấn đề này, ông Vitaly Kamluk - Giám đốc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab ở Châu Á - Thái Bình Dương (APAC) đã tạo ra một công cụ kỹ thuật số nguồn mở, có thể thu thập từ xa các tài liệu quan trọng, thu được hình ảnh đĩa cứ toàn bộ thông qua mạng hoặc lưu trữ đính kèm cục bộ, hoặc đơn giản là hỗ trợ từ xa trong việc xử lý sự cố phần mềm độc hại. Dữ liệu bằng chứng có thể được xem xét và phân tích từ xa hoặc cục bộ trong khi lưu trữ dữ liệu nguồn vẫn còn nguyên vẹn.

“Sự cần thiết của việc phân tích các sự cố an ninh một cách hiệu quả và nhanh chóng ngày càng quan trọng, vì tội phạm mạng ngày càng tiến bộ và thận trọng. Nhanh chóng không thôi chưa đủ, chúng ta cần phải chắc chắn rằng chứng cứ không bị lộ để các cuộc điều tra trở nên đáng tin và kết quả có thể được sử dụng tại tòa. Tôi không thể tìm được một công cụ nào cho phép làm điều đó một cách đơn giản và dễ dàng, vì thế tôi quyết định tự tạo ra nó”, ông Vitaly Kamluk cho biết.

Danh sách các tính năng của BitScout:

- Thu được hình ảnh ổ đĩa, dễ sử dụng với cả nhân viên không chuyên.

- Chuyển các mẩu dữ liệu phức tạp sang phòng thí nghiệm để kiểm tra sâu hơn.

- Quét từ xa các hệ thống ngoại tuyến (cần thiết đối với rootkit).

- Tìm kiếm và xem các chìa khóa đăng ký (autoruns, dịch vụ, thiết bị cắm USB)

- Khắc phục tập tin từ xa (phục hồi các tập tin đã xóa).

- Sửa chữa hệ thống từ xa nếu chủ sở hữu cho phép quyền truy cập.

- Quét từ xa các nút mạng khác (hữu ích cho phản hồi sự cố từ xa).

Công cụ này được cung cấp miễn phí tại kho GitHub: https://github.com/vitaly-kamluk/bitscout