Questo articolo illustra varie tecniche e strumenti facilmente reperibili per estrarre i dati da un disco virtuale cifrato. Per le situazioni di incident response in cui l’intero disco virtuale è stato cifrato, questi strumenti e tecniche possono consentire al team investigativo di recuperare i dati dal sistema colpito.

Gli sforzi per estrarre i dati dai dischi virtuali cifrati possono condurre a molteplici risultati positivi: recuperare i dati dei clienti che sono irrecuperabili con i metodi standard, aiutare a ricostruire l’infrastruttura virtualizzata dei clienti che è stata compromessa e/o arricchire la cronologia delle indagini sugli incidenti. Finora abbiamo utilizzato con successo queste tecniche nelle indagini DFIR che hanno coinvolto i gruppi di ransomware LockBit, Faust / Phobos, Rhysida e Akira.

Lo diciamo all’inizio dell’articolo e lo ripeteremo alla fine: i risultati non sono garantiti. Nessun metodo di estrazione dei dati esistente è in grado di fornire dati completi da una macchina virtuale cifrata. Evidenzieremo inoltre che, mentre questi metodi hanno registrato un’alta percentuale di successo nell’estrazione di dati forensi preziosi per l’indagine (come i registri degli eventi, la diagnostica del registro e simili), la percentuale di successo nel recupero di dati che possono essere utilizzati come parte del processo di ripristino dei sistemi di produzione, come i database, è molto più bassa.

Si consiglia vivamente di effettuare i tentativi di ripristino su “copie di lavoro” e non sugli originali, per evitare che i tentativi causino ulteriori danni involontari ai dispositivi.

Nel prossimo capitolo vedremo in quali situazioni il recupero può essere possibile e in che misura. Successivamente, verranno elencati alcuni fattori da tenere in considerazione per scegliere i possibili metodi da utilizzare. Infine, esamineremo ciascuna tecnica, elencando i prerequisiti facendo altre considerazioni. Nella discussione del metodo più laborioso, illustreremo i dettagli del processo. In questo articolo, i riferimenti a “dischi virtuali”, “macchine virtuali” o “immagini disco” si riferiscono tutti alla stessa cosa e possono essere qualsiasi immagine di un disco come VHD, VHDX, VMDK, RAW e così via. Tutte e sei le tecniche si applicano a Windows; alcune possono funzionare anche su Linux, e le indicheremo in ciascun caso.

