【IT168 廠商動態】卡巴斯基實驗室亞太區全球研究和分析團隊總監Vitaly Kamluk表示:作為一名惡意軟體研究人員,你會一直忙於同全球大量的惡意軟體和網絡攻擊作鬥爭。過去十年,每天新發現的惡意軟體數量上升到難以想像的高度:每天新發現的惡意軟體樣本達到數十萬個!雖然有一些很罕見和危險的惡意軟體,但是並非所有的樣本都是如此危險。事實上,一些重大的危險只有在多個因素組合起來時採用出現,包括多種惡意軟體工具、惡意基礎設施以及來自操縱這些威脅的交互命令。
這就是為什麼我們不僅僅研究惡意軟體,而且開始跟蹤攻擊者群體,並開始專注於攻擊行動和鼓勵的安全事件,這是一項越來越具有挑戰性的工作,因為這樣做就像是大海撈針,有時候我們需要去很遠的地方搜集證據。要完成這類研究和搜集工作,有多種手段,但是最可靠的手段是執法機關所使用的手段,即全面的數字取證。這一過程非常耗時,而且非常依賴技術高超的專家現場進行去成,所以這項工作通常需要出差。對於這一難題,我們很自然地想要找到一種解決方案,但是令人驚訝的是,沒有人提供這種結局方案。至少沒有一種解決方案是符合我們標準的!
Bitscout項目開始於多年之前,最早是我的一項興趣。我一直在研究LiveCD的製作和定製。後來,我們需要在非洲一個國家的一臺受感染計算機上查找攻擊者蹤跡,我認為自己可以幫忙。我在Linux上製作了一個簡單和簡化的LiveCD,預配置了VPN客戶端和SSH伺服器,並通過網際網路將其分享給系統所有者。他利用其燒制了光碟,通過光碟啟動了受感染計算機。這個工具非常好用:我可以通過網際網路,連接到遠程計算機,並且完全控制它。雖然連接很慢,但幸運的是,我使用的遠程桌面訪問工具對帶寬要求不高。一個文本終端就足夠完成這項工作,通過較慢的撥號網際網路服務也能夠勝任。我設法幫助系統所有者獲取到用戶取證分析的受幹擾系統磁碟鏡像,發現了惡意文件和相關文件的位置,最為重要的是,提取了有關威脅的重要信息,包括一個惡意軟體釋放器和造成感染的魚叉式釣魚郵件。
隨著時間的推移,類似的情況出現過多次。在同國際刑警組織進行合作時,我們也採用了同樣的模式:首先,執法人員前往物理磁碟採集地點,在得到當地執法機關的許可後,幫助我們在現場收集最重要的證據,而且速度非常快。這種方法節省了我們的出差時間,幫助執法機關快速獲取網絡攻擊後留下的關鍵證據。
Bitscout啟動過程
一段時間後,開始出現更多新的應用場景:
1.手動修復受感染的計算機(從rootkit感染中修復)
2.共享遠程會話,可以讓我們培訓新用戶,提高分析的速度3.有一次,我出差到一位客戶那裡,但是我沒有隨身攜帶企業級SAS磁碟控制器來獲取完整的磁碟鏡像。使用我製作的LiveCD,我能夠通過原始伺服器硬體克隆磁碟。而且我甚至不需要待在冰冷的伺服器室監控整個進度!
我們還為不熟悉命令行Linux環境的用戶進行了簡化,讓這種工具更易於使用。同時,為了確保磁碟體積較小,我們決定不採用圖形界面工具和X11服務。我們很自然地選擇了TUI(文本用戶界面),因為這種界面使用箭頭鍵即可輕鬆操作。
適用於普通用戶的Bitscout2.0主界面
但是,當你同從未謀面的人一同工作時,信任是一個固有問題。考慮一下:你會讓一些專家遠程訪問你寶貴的系統嗎?如果讓,那我很高興同你一道工作。但是如果我是你,我可能會很緊張,希望能夠自己控制整合過程。這很正常,這正是之前版本的LiveCD困擾我的地方。
如果我們可以限制安全專家對硬體的訪問,同時監控和記錄他/她所做的一切,就可以解決信任問題。按照這個想法,我們開發了新版本的Bitscout:即剛剛發布的Bitscout2.0。遠程專家僅在虛擬非特權容器內部具有root權限。專家只能訪問所有者允許的磁碟設備,他們可以安裝其他軟體和更改系統文件,而不會危及主機系統或硬碟驅動器上的數據。這些操作都在內存中進行,一旦系統關閉,所有更改都會消失。此外,所有遠程會話都會被記錄,並被存儲在容器之外。這樣做,提供了很好的隔離級別,可用於學習重建取證分析過程,或者用於證明證據的存在。
但這並不是全部!Bitscout2.0不僅是一個基於開源的工具,還是一個能夠讓你打造自己的LiveCD,創建自己的Bitscout系統的開源工具。所以,該工具本質上是一個腳本的集合,任何人都可以驗證,自定義和改進。
歡迎這樣做,現在該工具已經上線Github:https://github.com/vitaly-kamluk/bitscout