Rechercher
Fermer ce champ de recherche.

Six méthodes pour extraire des données de disques virtuels chiffrés

Dans le domaine de la cybersécurité, la récupération de données à partir de disques virtuels chiffrés est devenue une tâche cruciale pour les équipes de réponse aux incidents. Cet article présente six méthodes efficaces et des outils facilement disponibles pour extraire des informations à partir de machines virtuelles verrouillées, en offrant des solutions précieuses dans des situations critiques.

Importance de la Récupération de Données dans les Incidents Cybernétiques

L’extraction de données à partir de disques virtuels chiffrés peut être fondamentale pour récupérer des informations précieuses de clients, reconstruire des infrastructures virtualisées compromises et enrichir la chronologie d’une enquête sur incidents. Ces techniques ont prouvé leur efficacité dans des enquêtes liées à des groupes de ransomware comme LockBit, Faust / Phobos, Rhysida et Akira.

Limitations et Recommandations

Il est essentiel de souligner que les résultats de ces méthodes ne sont pas garantis. Le taux de succès varie et, bien que les données médicolégales de valeur aient pu être extraites, la récupération complète de systèmes de production comme les bases de données est moins probable. Il est vivement recommandé de mettre en œuvre ces tentatives sur des copies de travail pour éviter des dommages supplémentaires.

Méthodes d’Extraction de Données

Ci-dessous sont décrites six méthodes pour extraire des données à partir de disques virtuels chiffrés, avec des détails sur les outils nécessaires et des considérations supplémentaires.

1. Monter le Disque

Avant de supposer qu’un disque est complètement chiffré, il convient d’essayer de le monter. Parfois, les cybercriminels ne font que modifier les extensions des fichiers sans les chiffrer entièrement. Si la méthode fonctionne, il est alors possible d’accéder aux fichiers nécessaires et de les copier. Les outils recommandés comprennent 7-Zip et FTK.

2. RecuperaBit

RecuperaBit, développée par Andrea Lazzarotto, est un outil automatisé qui reconstruit des partitions NTFS trouvées sur le disque chiffré. Il fonctionne avec python3 et peut fournir des résultats en environ 20 minutes. Il est idéal pour récupérer des structures de dossiers et des fichiers, bien qu’il puisse déclencher des détections de protection des points d’accès.

3. Bulk_extractor

Bulk_extractor est un outil gratuit pour Windows et Linux qui récupère des fichiers système et multimédia. Il peut être configuré pour se concentrer sur des types de fichiers spécifiques, accélérant l’analyse. Il est recommandé de l’utiliser dans un environnement sandbox pour prévenir les détections de protection des points d’accès.

4. EVTXtract

EVTXtract recherche et récupère des fichiers .evtx complets ou partiels sur des disques chiffrés. Il fonctionne exclusivement sous Linux et convertit les résultats en XML, ce qui peut nécessiter un traitement supplémentaire pour facilter leur analyse.

5. Scalpel et Foremost

Scalpel et Foremost sont des outils gratuits de récupération de fichiers, particulièrement utiles pour récupérer des documents et des fichiers multimédia. Les deux permettent de modifier le fichier de configuration pour se concentrer sur des types de fichiers spécifiques. Leur utilisation dans un environnement sandbox est recommandée.

6. Sculpture Manuelle de la Partition NTFS

La sculpture manuelle, en utilisant l’outil dd de Linux, requiert des calculs précis et de la préparation. Cette méthode implique d’extraire intactes des partitions NTFS et de créer de nouveaux fichiers à partir de celles-ci. Bien qu’elle soit laborieuse, elle peut être très efficace pour récupérer des données précieuses.

Considérations Supplémentaires

Lors du choix de la méthode appropriée, des facteurs tels que la taille du fichier, les outils disponibles, le temps, le stockage et les priorités des clients doivent être pris en compte. Le besoin commercial de récupérer des données joue également un rôle crucial dans la décision.

Conclusion

Bien que ces méthodes ne garantissent pas un résultat, elles peuvent être cruciales pour la récupération de données chiffrées lors d’un incident cybernétique. La décision de continuer ou d’abandonner le processus doit être basée sur une évaluation soignée des besoins et des circonstances spécifiques de chaque cas.

Référence : OpenSecurity et Blog Sophos.