In het domein van cybersecurityCybersecurity oplossingen zijn essentieel in het digitale tijdperk…, is het herstellen van gegevens van versleutelde virtuele schijven een cruciale taak geworden voor incidentrespons teams. Dit artikel presenteert zes effectieve methoden en gemakkelijk beschikbare hulpmiddelen voor het extraheren van informatie uit vergrendelde virtuele machines, en biedt waardevolle oplossingen in kritieke situaties.
Belang van Gegevensherstel bij Cyberincidenten
Het extraheren van gegevens uit versleutelde virtuele schijven kan essentieel zijn voor het herstellen van waardevolle klantinformatie, het herbouwen van aangetaste gevirtualiseerde infrastructuren en het verrijken van de tijdlijn van een incidentonderzoek. Deze technieken zijn effectief gebleken bij onderzoeken naar ransomware-groepen zoals LockBit, Faust / Phobos, Rhysida en Akira.
Beperkingen en Aanbevelingen
Het is belangrijk te benadrukken dat de resultaten van deze methoden niet gegarandeerd zijn. Het succespercentage varieert en hoewel waardevolle forensische data is geëxtraheerd, is volledig herstel van productiesystemen zoals databases minder waarschijnlijk. Het wordt sterk aangeraden deze pogingen uit te voeren op werkkopieën om verdere schade te voorkomen.
Methoden van Gegevensextractie
Hieronder worden zes methoden beschreven voor het extraheren van gegevens uit versleutelde virtuele schijven, met details over de benodigde tools en aanvullende overwegingen.
1. De Schijf Monteren
Voordat wordt aangenomen dat een schijf volledig is gecodeerd, moet worden geprobeerd deze te monteren. Soms veranderen cybercriminelen alleen de bestandsextensies zonder ze volledig te versleutelen. Als deze methode werkt, kunnen de benodigde bestanden worden benaderd en gekopieerd. Aanbevolen hulpmiddelen zijn onder andere 7-Zip en FTK.
2. RecuperaBit
RecuperaBit, gemaakt door Andrea Lazzarotto, is een geautomatiseerd hulpmiddel dat NTFS-partities herbouwt die gevonden zijn op de gecodeerde schijf. Het werkt met python3 en kan binnen ongeveer 20 minuten resultaten opleveren. Het is ideaal voor het herstellen van mappenstructuren en bestanden, hoewel het endpointbeschermingsdetecties kan activeren.
3. Bulk_extractor
Bulk_extractor is een gratis tool voor Windows en Linux die systeem- en multimediabestanden herstelt. Het kan zo worden geconfigureerd dat het zich concentreert op specifieke bestandstypen, wat de analyse versnelt. Het wordt aanbevolen om het in een sandbox-omgeving te gebruiken om endpointbeschermingsdetecties te vermijden.
4. EVTXtract
EVTXtract zoekt en herstelt zowel complete als deel evtx-bestanden op versleutelde schijven. Het werkt exclusief op Linux en converteert de resultaten naar XML, wat naar aanvullende bewerkingvereisten packet.
5. Scalpel en Foremost
Scalpel en Foremost zijn gratis bestandsherstel tools, vooral nuttig voor het herstellen van documenten en multimediabestanden. Beide staan aanpassingen toe in het configuratiebestand om zich te richten op specifieke bestandstypen. Er wordt aangeraden ze in een sandbox-omgeving te gebruiken.
6. Handmatig Carven in de NTFS Partitie
Handmatig snijwerk, met behulp van de Linux dd-tool, vereist nauwkeurige berekeningen en voorbereiding. Deze methode betreft het extraheren van onbeschadigde NTFS-partities en het creëren van nieuwe bestanden daaruit. Hoewel het bewerkelijk is, kan het zeer effectief zijn voor het herstellen van waardevolle data.
Extra Overwegingen
Bij het kiezen van de juiste methode moet men overwegen factoren zoals bestandsgrootte, beschikbare hulpmiddelen, tijd, opslag en klantprioriteiten. De zakelijke noodzaak om gegevens te herstellen speelt ook een cruciale rol in de beslissing.
Conclusie
Hoewel deze methoden geen resultaten garanderen, kunnen ze van cruciaal belang zijn bij het herstellen van gecodeerde data tijdens een cyberincident. De beslissing om het proces voort te zetten of te staken, moet worden gebaseerd op een zorgvuldige beoordeling van de specifieke behoeften en omstandigheden van elk geval.
Referentie: OpenSecurity en Sophos blog.