หน้าแรก Vendors Kaspersky โหลดฟรี ทูล “BitScout” สำหรับเก็บรวบรวมหลักฐาน หลังถูกจู่โจมไซเบอร์

โหลดฟรี ทูล “BitScout” สำหรับเก็บรวบรวมหลักฐาน หลังถูกจู่โจมไซเบอร์

แบ่งปัน

ในการจู่โจมโจมตีทางไซเบอร์ส่วนมาก เจ้าของที่ถูกต้องตามกฎหมายของระบบที่ถูกโจมตีจากผู้บุกรุกนิรนามนั้นมักจะยินยอมให้ความร่วมมือ และให้ความช่วยเหลือแก่นักวิจัยด้านความปลอดภัยในการค้นหาเวคเตอร์ที่ก่อให้เกิดการติดเชื้อ หรือรายละเอียดอื่นๆ ที่เกี่ยวข้องกับผู้บุกรุก

อย่างไรก็ตาม ก็ยังเป็นความวิตกกังวลมาแสนนานของเหล่านักวิจัยด้านการพิสูจน์หลักฐานถึงความจำเป็นที่จะต้องเดินทางไกลเพื่อเก็บรวบรวมหลักฐานเบาะแสสำคัญ อาทิ ตัวอย่างมัลแวร์จากคอมพิวเตอร์ที่ติดเชื้อ ซึ่งนั่นย่อมหมายถึงค่าใช้จ่ายสูงและความล่าช้า ยิ่งยืดเยื้อในการทำความเข้าใจลักษณะการจู่โจมนั้น การป้องกันผู้ใช้งาน และชี้ตัวผู้ทำการบุกรุกก็จะยิ่งเนิ่นนานออกไป ส่วนทางเลือกอื่นๆ ก็จะต้องอาศัยเครื่องมือที่มีราคาแพง รวมทั้งความรู้ในการใช้งานทูลเหล่านั้น หรือเสี่ยงติดเชื้อมัลแวร์ไปด้วย หรือหลักฐานสูญหายระหว่างการย้ายข้อมูลระหว่างเครื่องคอมพิวเตอร์

เพื่อเป็นการแก้ปัญหานี้ วิตาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research and Analysis Team หรือทีม GReAT) แคสเปอร์สกี้ แลป ประจำภูมิภาคเอเชียแปซิฟิก จึงได้คิดค้นเครื่องมือดิจิทัลที่เป็นโอเพ่นซอร์สขึ้น ทูลนี้ เรียกว่า BitScout (บิตสเก๊าต์) ให้โหลดฟรีโดยไม่มีค่าใช้จ่าย มันสามารถใช้งานในระยะไกลเพื่อทำการเก็บรวบรวมหลักฐานสำคัญ เก็บรวบรวมภาพรวมของดิสก์ผ่านระบบเครือข่ายหรือเก็บลงบนสตอเรจที่ต่อเชื่อมอยู่ หรือเพียงแต่จะให้ความช่วยเหลือในการจัดการกับมัลแวร์ก็ย่อมได้ สามารถเรียกดูได้และทำการวิเคราะห์ข้อมูลที่เกี่ยวโยงกับหลักฐานได้จากระยะไกล หรือจะวิเคราะห์ ณ ที่เกิดเหตุก็ได้ โดยที่สตอเรจจัดเก็บข้อมูลหลักนั้นยังคงใช้การได้อยู่ โดยแยกใช้งานผ่านที่เก็บข้อมูลที่แยกต่างหากที่สามารถไว้วางใจเชื่อถือได้

ฟีเจอร์ของ BitScout มีดังนี้
• การเก็บภาพรวมของดิสก์ (Disk image acquisition) ที่แม้แต่พนักงานที่ไม่เคยผ่านการอบรมก็สามารถทำเองได้
• ฝึกอบรมระหว่างดำเนินการใช้งาน (แชร์ภาพเซสชั่นของเครื่องคอมพิวเตอร์ให้ดูได้)
• โอนย้ายข้อมูลที่มีความซับซ้อนไปยังห้องปฏิบัติการของคุณเพื่อการตรวจสอบเชิงลึก
• ใช้วิธีการตรวจสอบแบบ Yara หรือ ทำการสแกน AV ระบบช่วงที่ออฟไลน์ได้จากระยะไกล (สำคัญสำหรับการตรวจสอบรูทคิท)
• ค้นหาและเรียกดูคีย์ลงทะเบียน (registry keys) (autoruns, บริการ, อุปกรณ์ยูเอสบีที่เชื่อมต่ออยู่)
• ดำเนินการกู้คืนไฟล์ที่ถูกลบออกไปแล้วได้จากระยะไกล
• ฟื้นฟูปรับปรุงสถานะระบบระยะไกล หากได้รับสิทธิ์ในการเข้าใช้ระบบจากผู้เป็นเจ้าของระบบ
• ทำการสแกนโหนดบนเครือข่ายอื่นๆ ได้จากระยะไกล (เป็นประโยชน์สำหรับการรับมือกับเหตุการณ์จากระยะไกล)

เครื่องมือนี้มีพร้อมให้ใช้งานได้โดยไม่มีค่าใช้จ่ายที่ศูนย์เก็บโค้ด GitHub: https://github.com/vitaly-kamluk/bitscout