Un ricercatore di Kaspersky Lab ha sviluppato uno strumento software molto semplice da utilizzare che può acquisire da remoto tutti i dati importanti che riguardano un attacco subìto dai sistemi di qualunque soggetto o impresa.
Gli investigatori che si occupano di attacchi informatici spesso hanno la necessità di viaggiare in lungo e in largo per raccogliere le prove direttamente dai computer infetti.
Con Kaspersky BitScout 2.0 è possibile, d’ora in avanti, recuperare i dati d’interesse in modalità remota, senza che il contenuto delle macchine aggredite venga danneggiato o alterato in alcun modo.
Vitaly Kamluk, direttore del team Kaspersky che si occupa di ricerca e analisi in Asia, ha sviluppato un software – BitScout, appunto – cruciale per l’ottimizzazione delle indagini forensi ma anche utilissimo per tutti gli esperti specializzati nel settore della sicurezza informatica.
![Analisi forense PC, uno strumento per recuperare i dati da remoto](https://www.ilsoftware.it/public/shots/bitscout_kaspersky_0717.jpg)
Tra le varie funzionalità, BitScout permette di acquisire le immagini dei dischi (anche appoggiandosi a uno staff non qualificato), di trasferire dati e frammenti di file per proseguire l’analisi in totale autonomia, di usare le cosiddette YARA rules per risalire all’identità di un malware esaminandone pattern testuali o binari e di avviare una scansione da remoto sui sistemi offline, di ricercare e visualizzare chiavi del registro di Windows (autorun, servizi, dispositivi USB collegati), di svolgere il cosiddetto file carving da remoto (recupero di file eliminati), di ripristinare il sistema da remoto e di effettuare la scansione remota di altri nodi di rete.
BitScout, seppur distribuito a titolo completamente gratuito, si pone in evidenza come un tool di inestimabile valore.
Opensource (quindi liberamente modificabile da parte di terzi), BitScout è scaricabile da questa pagina cliccando su Clone or download, Download Zip.
Per utilizzare il tool, è necessario disporre di un sistema Ubuntu Linux ed eseguire lo script automake.sh. In questo modo, si potrà creare un supporto avviabile LiveCD o LiveUSB per compiere da remoto tutte le operazioni citate sul sistema infetto o comunque dal quale si ha la necessità di recuperare materiale.
Autore: IlSoftware.it