Analisi forense PC, uno strumento per recuperare i dati da remoto

Un ricercatore di Kaspersky Lab ha sviluppato uno strumento software molto semplice da utilizzare che può acquisire da remoto tutti i dati importanti che riguardano un attacco subìto dai sistemi di qualunque soggetto o impresa.

Gli investigatori che si occupano di attacchi informatici spesso hanno la necessità di viaggiare in lungo e in largo per raccogliere le prove direttamente dai computer infetti.
Con Kaspersky BitScout 2.0 è possibile, d’ora in avanti, recuperare i dati d’interesse in modalità remota, senza che il contenuto delle macchine aggredite venga danneggiato o alterato in alcun modo.

Vitaly Kamluk, direttore del team Kaspersky che si occupa di ricerca e analisi in Asia, ha sviluppato un software – BitScout, appunto – cruciale per l’ottimizzazione delle indagini forensi ma anche utilissimo per tutti gli esperti specializzati nel settore della sicurezza informatica.

Tra le varie funzionalità, BitScout permette di acquisire le immagini dei dischi (anche appoggiandosi a uno staff non qualificato), di trasferire dati e frammenti di file per proseguire l’analisi in totale autonomia, di usare le cosiddette YARA rules per risalire all’identità di un malware esaminandone pattern testuali o binari e di avviare una scansione da remoto sui sistemi offline, di ricercare e visualizzare chiavi del registro di Windows (autorun, servizi, dispositivi USB collegati), di svolgere il cosiddetto file carving da remoto (recupero di file eliminati), di ripristinare il sistema da remoto e di effettuare la scansione remota di altri nodi di rete.

BitScout, seppur distribuito a titolo completamente gratuito, si pone in evidenza come un tool di inestimabile valore.
Opensource (quindi liberamente modificabile da parte di terzi), BitScout è scaricabile da questa pagina cliccando su Clone or download, Download Zip.

Per utilizzare il tool, è necessario disporre di un sistema Ubuntu Linux ed eseguire lo script automake.sh. In questo modo, si potrà creare un supporto avviabile LiveCD o LiveUSB per compiere da remoto tutte le operazioni citate sul sistema infetto o comunque dal quale si ha la necessità di recuperare materiale.