Recueillir des preuves à distance après des cyber-attaques

Après une cyber-attaque, les chercheurs doivent régulièrement faire de lointains voyages pour recueillir des preuves sur des ordinateurs infectés.

Après une cyber-attaque, les chercheurs doivent régulièrement faire de lointains voyages pour recueillir des preuves sur des ordinateurs infectés. Un expert de Kaspersky Lab a développé un outil simple, BitScout, pour résoudre ce problème. Cette solution permet de collecter à distance des données essentielles, sans courir le risque d’infecter ou de perdre des données. BitScout permet de créer en quelque sorte un couteau suisse pour les enquêtes criminalistiques à distance sur des systèmes actifs et il sera mis gratuitement à la disposition de tous les enquêteurs.

Lors de la plupart des cyber-attaques, les propriétaires légitimes de système compromis sont la proie de criminels non identifiés. Les victimes décident généralement de collaborer avec les experts en sécurité afin de les aider à découvrir le vecteur d’infection ou d’autres détails sur les attaquants. Depuis longtemps, l’un des soucis des spécialistes d’enquêtes criminalistiques est qu’ils doivent parcourir de longs voyages pour recueillir des preuves cruciales, comme des échantillons de maliciels d’ordinateurs infectés. Résultat : les enquêtes sont coûteuses et ralenties. Plus longtemps il faut pour décrypter une attaque, et plus longtemps il faut pour protéger les utilisateurs et identifier les auteurs. Pour des solutions alternatives, soit des outils coûteux et des connaissances sur leur utilisation étaient nécessaires, soit le risque existait de contaminer ou de perdre des données à la suite de leur déplacement entre des ordinateurs.

Pour résoudre ce problème, Vitaly Kamluk, Directeur de la Global Research & Analysis Team de Kaspersky Lab dans la région Asie Pacifique (APAC), a créé un outil numérique open-source. Celui-ci permet de collecter à distance du matériel criminalistique essentiel, d’obtenir des images de disque complètes via le réseau ou des appareils de stockage localement connectés, ou simplement de fournir une aide à distance lors du traitement d’incidents de maliciels. Les preuves peuvent être consultées et analysées à distance ou sur place, alors que le stockage des données reste intact au niveau de la source, grâce à une isolation fiable sur la base d’un conteneur.

“La nécessité d’analyser des incidents de sécurité de façon aussi efficace et rapide que possible est de plus en plus importante, étant donné que les auteurs opèrent de manière toujours plus avancée et discrète. La vitesse à tout prix n’est toutefois pas une solution – nous devons veiller à ce que les preuves restent intactes, pour que les enquêtes soient fiables et que les résultats puissent être utilisés en justice, le cas échéant. Je ne trouvais aucun outil qui nous permettait de réaliser le tout sans entraves, j’ai donc décidé d’en développer un moi-même », explique Vitaly Kamluk.

Les experts de Kaspersky Lab travaillent en étroite collaboration avec les services de police dans le monde entier et les aident à effectuer des analyses techniques lors de cyber-enquêtes. Cela leur donne un aperçu unique des défis auxquels les services de répression sont confrontés dans la lutte contre la cybercriminalité moderne. Le paysage de la cybersécurité est devenu aujourd’hui tellement complexe et avancé que les enquêteurs ont besoin d’outils capables de s’adapter et d’extrapoler par rapport aux exigences de la tâche en question. BitScout en est un bon exemple en l’occurrence. Il peut être adapté aux besoins spécifiques d’un enquêteur et est amélioré et étendu avec des fonctionnalités supplémentaires et des logiciels adaptés. Pour couronner le tout, il est gratuit, basé sur des solutions open source et entièrement transparent. Au lieu de se fier à des outils de tiers (avec leur propre code), les experts peuvent se servir du code open-source BitScout pour créer leur propre couteau suisse aux fins de leur enquête criminalistique numérique.

Parmi les fonctions de BitScout figurent :

  • L’acquisition d’image disque, même avec du personnel non formé;
  • La formation de personnes en déplacement (session terminal view-only partagée) ;
  • Le transfert d’éléments de données complexes vers le laboratoire pour une inspection plus approfondie ;
  • La réalisation à distance d’analyses Yara ou AV de systèmes hors ligne (essentielle contre les rootkits) ;
  • La recherche et la consultation de clés de registre (autoruns, services, appareils USB connectés) ;
  • Le file carving à distance (réparation de fichiers supprimés) ;
  • La restauration du système externe après autorisation d’accès par le propriétaire ;
  • L’analyse à distance d’autres nœuds réseau (pratique pour la réaction à des incidents à distance).

L’outil est disponible gratuitement via l’archive de code bitscout.