Fox-IT maakt eigen toolset voor incident response open source beschikbaar

Beveiligingsbedrijf Fox-IT maakt een van zijn belangrijkste tools voor incident response open source beschikbaar. Dissect bestaat uit een reeks tools en parsers die het beveiligingsbedrijf intern gebruikt. Die kan iedereen gaan gebruiken.

Fox-IT maakte intern al langer gebruik van Dissect bij incident response, een van de onderdelen van het bedrijf. De 'digitale brandweer'-afdeling gebruikt daarvoor verschillende tools met verschillende functies, zoals een parser voor schijfanalyse en een andere tool die Windows log-events kan analyseren. Die worden nu gebundeld tot een tool die netwerken in kaart kan brengen bij bijvoorbeeld een ransomwareaanval. Fox-IT zegt dat bestaande opensourcetools of commerciële software vaak niet voldeed aan de eisen, met name waar het gaat om snelheid. Daarom besloot het Dissect te bouwen, waarin bijvoorbeeld parsers zijn opgenomen die Fox-IT zelf bouwt. De tool werkt sneller en kan meer werk automatiseren. Het bedrijf heeft de broncode en documentatie daarvan nu op GitHub gezet.

De tool is met name geschikt voor het snel in kaart brengen van een compleet netwerk. Met name bij onderzoek naar zogenaamde advanced persistent threats, zoals aanvallen van geheime diensten van landen, is het belangrijk dat onderzoekers zichzelf niet laten zien. Daarvoor moeten ze vaak eerst een forensische kopie maken van een heel netwerk. Dat kost vaak veel tijd. "Bij een klein onderzoek van vijf systemen lukt dat nog wel. Maar bij grote netwerken duurt dat veel te lang om efficiënt onderzoek te doen", zegt Erik Schamper, analist bij het bedrijf tegen Tweakers. Dissect is bedoeld om in 'enkele uren' analyses te kunnen maken van zo'n netwerk. Dat is vooral interessant bij geavanceerde aanvallen, bijvoorbeeld van statelijke actoren.

Dissect bestaat uit een reeks aan parsers die Fox-IT voor eerdere specifieke onderzoeken heeft gebouwd. Die zijn opgedeeld in categorieën; ze zijn voor containers, bestandssystemen, besturingssystemen en volumes. Daarnaast kunnen er plug-ins worden geïnstalleerd om bijvoorbeeld browsergeschiedenis te onderzoeken. Fox-IT maakt de tool voornamelijk beschikbaar voor andere securitybedrijven en -experts. Het bedrijf hoopt dat andere experts gaan bijdragen aan de tool.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 04-10-2022 14:00 39

04-10-2022 • 14:00

39

Lees meer

Fox-IT-moederbedrijf NCC Group rondt verkoop van Fox Crypto af
Fox-IT-moederbedrijf NCC Group rondt verkoop van Fox Crypto af Nieuws van 28 maart 2025
Ontslagen bij Fox-IT-eigenaar NCC Group treffen Nederland niet
Ontslagen bij Fox-IT-eigenaar NCC Group treffen Nederland niet Nieuws van 14 augustus 2023
Fox-IT-eigenaar NCC Group ontslaat opnieuw deel van personeel
Fox-IT-eigenaar NCC Group ontslaat opnieuw deel van personeel Nieuws van 11 augustus 2023
'Eigenaar Fox-IT wil beveiligingsbedrijf opsplitsen en deel verkopen'
'Eigenaar Fox-IT wil beveiligingsbedrijf opsplitsen en deel verkopen' Nieuws van 1 juni 2023
Incidentresponse: de digitale brandweer moet op steeds grotere schaal werken
Incidentresponse: de digitale brandweer moet op steeds grotere schaal werken Nieuws van 18 november 2022
Data Nederlandse Kamerleden op straat na hack van leverancier toegangssystemen
Data Nederlandse Kamerleden op straat na hack van leverancier toegangssystemen Nieuws van 7 oktober 2022
RTL Nederland heeft wellicht te maken met ransomwareaanval
RTL Nederland heeft wellicht te maken met ransomwareaanval Nieuws van 9 september 2021
FTM: Fox-IT wilde surveillancesoftware aan repressieve regimes verkopen
FTM: Fox-IT wilde surveillancesoftware aan repressieve regimes verkopen Nieuws van 30 juli 2021
Ministerie van Justitie meldt datalek met persoonsgegevens van 65.000 ambtenaren
Ministerie van Justitie meldt datalek met persoonsgegevens van 65.000 ambtenaren Nieuws van 16 juli 2021
SURF en Fox-IT gaan onderwijsinstellingen beter beveiligen tegen cyberaanvallen
SURF en Fox-IT gaan onderwijsinstellingen beter beveiligen tegen cyberaanvallen Nieuws van 7 januari 2021
Fox-IT-oprichter Ronald Prins begint nieuw securitybedrijf
Fox-IT-oprichter Ronald Prins begint nieuw securitybedrijf Nieuws van 1 oktober 2020
Directie ondernam 'couppoging' om Fox-IT in Nederlandse handen te houden
Directie ondernam 'couppoging' om Fox-IT in Nederlandse handen te houden Nieuws van 22 mei 2020
Meer producten en artikelen
Beveiliging en antivirus Marktontwikkelingen Foxit

Reacties (38)

-Moderatie-faq
38
35
18
5
0
5
Wijzig sortering
hellknight 4 oktober 2022 14:04
De web-based demo van de Dissect tool is beschikbaar:
https://try.dissect.tools/
er zijn momenteel nog wat technische problemen, waardoor bijv. de link naar de documentatie niet werkt.
Er is aangegeven dat men hiermee bezig is, en ze hopen dit later vandaag (dinsdag) verholpen te hebben
Ad-Blokker @hellknight4 oktober 2022 14:08
Werkende link naar de docs: https://docs.dissect.tools/
Acmosa 4 oktober 2022 19:18
Vanmiddag was de webinar en daarin wordt veel duidelijk en gedemonstreerd.
Hele mooie toolset voor IR. Mooi werk van de mensen van FOX-IT.
Webinar voor on-demand viewing:
https://event.on24.com/wc...866D217FB764D0F54C4437DD1
Yzord 4 oktober 2022 14:26
Ik ben volledig voor open source, maar soms denk ik bij dit soort tools of dat nou echt nodig is. Want ransomwaremakers kunnen deze code dus ook inzien en er omheen werken bijv. of toch een inzage krijgen in de denkwijze van hun tegenstanders.
hellknight @Yzord4 oktober 2022 14:36
Deze toolkit is geen anti-virus, EDR/XDR of wat voor preventieve oplossing dan ook - het is een analyse/forensische toolkit, dus op het punt dat je deze software gaat gebruiken zijn de bad guys al binnen, is de ransomware al geinstalleerd, etc. Ransomware incidenten lijken me ook niet de primaire focus hiervan - dit is veel meer gericht op digitale (industriele) spionage en sabotage.
84hannes @hellknight5 oktober 2022 10:15
Toch staat er in het artikel:
Met name bij onderzoek naar zogenaamde advanced persistent threats, zoals aanvallen van geheime diensten van landen, is het belangrijk dat onderzoekers zichzelf niet laten zien.
hellknight @84hannes5 oktober 2022 11:14
Klopt, ik reageerde voornamelijk op de link met Ransomware. APT's, dus de spionage en sabotage activiteiten, is een ander verhaal. Dat zijn voortdurende aanvallen, maar hierbij is het risico niet zozeer dat die om deze specifieke applicatie heen gaan werken, maar vooral dat, als zij merken dat ze ontdekt zijn, ze hun sporen gaan uitwissen, etc
avlt 4 oktober 2022 14:04
Is dit niet juist het soort tools dat (staats)hackers graag zouden willen hebben? Zeker de mogelijkheid om snel een netwerk in kaart te brengen?
Anoniem: 1777010 @avlt4 oktober 2022 14:14
Dit soort tools zijn niet bepaald stealth dus als je die in een netwerk aftrapt weet iedereen dat je er zit.
AuteurTijsZonderH Nieuwscoördinator @Anoniem: 17770104 oktober 2022 15:13
Dissect is juist expliciet gebouwd om een netwerk te analyseren zónder betrapt te worden als rechercheur. Het is ook vooral tegen nation states interessant; ransomwarebendes maakt het niet zoveel uit welke sporen ze nalaten, maar APT's zoals China of Iran wel. Die laten bewust geen sporen achter en verwijderen alles op het moment dat ze weten dat ze opgemerkt worden. Dissect is er juist op gebouwd dat te voorkomen.
lesander @TijsZonderH4 oktober 2022 19:49
Dissect is niet een tool om "een netwerk te analyseren" of om iets te "voorkomen" op een systeem of netwerk.

Dissect is primair een analysetool om besturingssystemen en applicatie artefacten op gegevensdragers te onderzoeken.
Anoniem: 1777010 @TijsZonderH4 oktober 2022 15:13
Oh nice, dat wist ik niet eens. Ik dacht echt voor "achteraf"
Johan1995 @TijsZonderH4 oktober 2022 18:55
Oftewel staten vechten hun geschillen onderling uit op onze netwerken zonder dat wij het weten. Een prettige gedachte....
webfreakz.nl @avlt4 oktober 2022 14:08
Of multi threaded event driven port scanners op een server met 10G internet verbinding. "Lachen"!
Johan1995 4 oktober 2022 14:04
Parser?
Die term had een beetje meer uitleg verdiend.
(plug-in en volume begrijp ik nog wel...)
Tubby @Johan19954 oktober 2022 15:40
Grofweg: het verwerken van ruwe data (o.a. logfiles) naar nuttige informatie
xbeam 4 oktober 2022 18:55
Heel slim door het gratis beschikbaar te maken bouwen ze door het gebruik in de branch een enorme database aan Netwerk blueprint en gedeeltelijke tot een te combineren samples op.

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

djwice @xbeam4 oktober 2022 19:58
Stuurt deze tool dan data naar FoxIT?
xbeam @djwice4 oktober 2022 21:28
Check jij het even? Punt momenteel weten we het niet zolang niemand alle code doorneemt. Ik lees er niets over maar lees hier ook niets dat het niet zo is?

Openen source maken betekent niet dat het geen onderdeel van of commercieel product meer is.

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

djwice @xbeam4 oktober 2022 21:54
Zucht. Wat denk je nou zelf. Zou dat handig zijn? Goed voor hun reputatie? Wie denk je dat de doelgroep is?
djwice @xbeam4 oktober 2022 22:04
Sorry hoor. Heb je echt niet in de code gekeken ofzo. Heel goed leesbaar en heel duidelijk wat elk stukje doet.
Binnen 10 minuten kun je alles gelezen hebben.
The_Bird 4 oktober 2022 14:00
Wauw! Dit willen we meer zien.
djwice @xbeam4 oktober 2022 19:56
Dus je verwacht dat deze tool alles naar FoxIT stuurd zonder jouw toestemming?

Kijk de code ff in.
xbeam @djwice4 oktober 2022 22:48
Ik vertrouw ze vanwege de commerciële belang en de toegevoegde waarde en unieke markt positie die het bezitten of verzamelen van deze Netwerk indexeringen voor fox-IT zou kunnen creëren in de statelijke spionage markt waarin ze actief zijn inderdaad in eerste instantie beroep technische voor geen meter. Wie zegt mij een bedrijf dat bekend is werken voor overheden die wij als beheerder juist buiten onze netwerk willen houden.

Niets geeft mij jouw als niet FoX-IT klant garantie of vertrouwen dat ze via toekomstige software updates als nog voor hun klanten gaan verzamelen.

Het vertrouwen dat een ander de code controleert is het grootste probleem bij open source software met als resultaat dat dit blijkbaar te weinig gebuurt
https://www.spiceworks.co...-puts-businesses-at-risk/

Hierdoor duurt vaak heel lang tot jaren voordat aangebracht exploits, backdoors en data verzameling wordt ontdekt
https://www.itpro.co.uk/s...ted-in-most-organisations
Openen source blijkt daardoor heel geschikt en veelal gebruikt/misbruik door staats hackers of bijv concurrenten van Fox-it. Mijn punt van deze discussie is dat gezien de statelijke spionage markt waarin fox-IT zich begeeft en de mogelijke voor hun klanten (overheden) waarde creërende mogelijkheden de onderliggende langer termijn doel van het aanbieden van een gratis opensource applicatie aan bijv IT beheerders en bedrijfsbeveiligende concurrente een heel ander dan alleen goedbedoelde hulpvaardigheid kan bevatten.

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

hellknight @xbeam5 oktober 2022 11:34
Het vertrouwen dat een ander de code controleert is het grootste probleem bij open source software met als resultaat dat dit blijkbaar te weinig gebuurt
https://www.spiceworks.co...-puts-businesses-at-risk/

Hierdoor duurt vaak heel lang tot jaren voordat aangebracht exploits, backdoors en data verzameling wordt ontdekt
https://www.itpro.co.uk/s...ted-in-most-organisations.
Voor de open-source markt op zich zou je een punt kunnen hebben, maar juist in de security branch zijn mensen erg kritisch, en zijn er veel mensen met de kennis om de code te reviewen. Fox-IT heeft expliciet aangegeven te hopen dat andere developers binnen de security ook bij gaan dragen aan te doorontwikkeling van de tool. Als ze dan stiekem call-home functionaliteit gaan inbouwen, of zelfs scandata naar hun eigen systemen gaan sturen, is de kans zeer groot dat dit ontdekt wordt, en is hun reputatie naar de maan.
xbeam @hellknight5 oktober 2022 17:28
Reputatie? dat is juist het hele probleem.

Fox-IT heeft in de cybersecurity wereld niet zoon lekker reputatie zeker wat betreft ethiek. Iedereen is overtuigd van hun kunnen en kwaliteiten. Maar ze hebben gewoon niet zo lekker trackrecord schandaaltjes betreft. Ik mag toch hopen dat het onder de meeste iter’s toch bekend is dat FOX-IT de aflopen10jaar er meerdere malen van is verdacht hun spionage software te leveren aan aan westerse onvriendelijk of mensen schenden laden ondanks handels boycotten met deze landen.

Ik ben zelf van mening dat je als IT beveiliginger je zelf altijd de vraag moet stellen wat zijn de verborgen potentiële risico’s en worden deze bevestigt of ontkracht door het verleden van een bedrijf. In dit geval een bedrijf dat de reputatie heeft spionage software alla Pegasus te leveren aan landen zoals Rusland en Saoedi-Arabië enz..

Dat zijn juist de landen die je als beheerder met man en macht ongeacht de kosten buiten de deur probeert te houden.

Momenteel weten we niet voor welke overheden FOX-it nog steeds offensief hack en spionage software bouwt (dat is geheim) Maar gezien de publicaties van bekend/onthulde werkzaamheden en klanten (overheden wereldwijd) van FOX-IT in het verleden Is het aannemelijk dat ze dit nog steeds doen. Waardoor er misschien in de toekomst een ongewenste hypothese ontstaan dat jij mee werkt aan of gebruik maakt van opensource een project om je bedrijf te beschermen. Terwijl dat zelfde bedrijf achter de opensource er vaker dan eens van verdachten is/ wordt (vijandige) overheden te voorzien met software om hun eigen burgers te volgen/onderdrukken of misschien betaald wordt om input of technieken geleerd uit dat zelfde opensource project bij het door jouw te beheren bedrijf probeert in te breken.

Nogmaals ik twijfel niet aan het product en helemaal niet aan de kwaliteiten van fox-it. Ook zeg ik zeg ik niet dat er nu data gedeeld wordt. Daarnaast zal ik geen nee zeggen om voor ze te werken. Ik probeer alleen een potentiële risico’s aan te geven. Dat gezien de achtergrond en verdachten overheidswerkzaamheden van FOX-IT je er als beheerder niet zomaar blind kan of mag negeren
Natuurlijk zal FOX-it als inmiddels niet meer Nederland of EU-uni bedrijf zeggen vertrouw ons blind.

Waarschijnlijk je dat Nederlands bedrijf/onderneming vanwege grotendeels nog Nederlandse moraal en vestigingen gebied van FOX-IT ook nog steeds. Maar als niet Nederlandse bedrijven ligt dat zo niet zo voor de hand liggend. Die hebben niet zo veel vertrouwen in het Nederland moraal. Waar ze buiten vallen.

Enige twijfel of zelf reflectie als Nederlands beheerder op een dubbele agenda achter achter de tool is gezien het verleden en daarmee de reputatie van FOX-IT niet eens zo heel gek.

nieuws: Fox-IT ontkent Wikileaks-beschuldiging van spyware-verkoop
documenten gepubliceerd van bedrijven die spyware zouden verkopen. Deze software zou gebruikt kunnen worden om mobieltjes en internetverkeer af te tappen of om burgers te volgen

Hij stelde tijdens een persconferentie dat gebruikers van een smartphone eenvoudig gevolgd kunnen worden en dat beveiligingsbedrijven er niet voor terugschrikken om de verzamelde informatie en de aftapsoftware aan totalitaire regimes te verkopen.
https://www.burojansen.nl...-in-rusland-samenvatting/
beveiligingsbedrijf Fox-IT verkoopt sinds 2010 haar producten in Rusland en is hier na de invoering van de internationale sancties tegen het land in 2014 mee doorgegaan. De Nederlandse overheid is een belangrijke klant van Fox-IT. Het bedrijf verzorgt onder andere de beveiliging van staatsgeheimen.
nieuws: FTM: Fox-IT wilde surveillancesoftware aan repressieve regimes verkopen
Saoedi-Arabië, Egypte en Syrië voor gebruik door inlichtingen-, veiligheids- en politiediensten, terwijl organisaties als Amnesty International en Human Rights Watch in die jaren kritiek uitten op mensenrechtenschendingen in die lande

FoxReplay is analysesoftware waarmee gebruikers afgetapt internetverkeer op eenvoudige wijze bijna real-time 'voor 100 procent nauwkeurig' kunnen volgen, zo adverteerde Fox-IT

De oud-medewerkers van Fox-IT met wie Follow the Money sprak, zeggen dat het bedrijf FoxReplay ondanks de intenties niet in het Midden-Oosten heeft verkocht. De Datadiode zou wel verkocht zijn. Fox-IT is een belangrijke leverancier voor de Nederlandse overheid maar heeft ook de NAVO, de FBI en de NASA als klanten. In 2015 nam het Britse NCC het Delftse bedrijf over voor 133 miljoen euro

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

djwice @xbeam6 oktober 2022 00:17
Jongens kijk gewoon eens in de code, het is echt maar een klein beetje, kun je in 10 minuten gelezen hebben, sneller dan dat je die lap tekst hierboven schreef.

Vorm daarna je oordeel wat er wel en niet kan met de code.
Mellow Jack @xbeam4 oktober 2022 21:24
Daarnaast de vraag hoe wenselijk is dat een third partij jouw exacte Netwerk topology in bezit heeft
In bezit is een groot iets maar over het algemeen is het fijn als een third party weet heeft van je netwerk. Het is zelfs fijn als meerdere partijen meedenken en werken aan het totaal plaatje.

De zijn maar weinig it afdelingen met alle kennis over alles in hun netwerk
xbeam @Mellow Jack4 oktober 2022 21:54
Klopt. Maar zou fox-it voor jouw de partij zijn om je omgeving mee scannen? Het is een bedrijf dat zich waarschijnlijk actief mengt in de huidige digitale oorlogsvoering. Het staat bekend in het verleden digitale wapens te verkopen aan ons onvriendelijke overheden.

Besef je dus wel dat zoon gratis aangeboden tool er voor kan zorgen dat fox-IT over 10 jaar misschien beschikt over een redelijk database systeem gegeven van misschien alle de middel grote bedrijven in de wereld.

Hier zit dus mijn dilemma ik vind fox IT en wat kunnen en doen super mooi, zeg ook geen nee tegen een baan bij ze. Maar zijn niet helemaal in schandaal en in de toekomst potentiële schandaal vrij.
Als IT beveiliger van je huidige werkgever is het mijn inziens ook jouw verantwoordelijkheid het bedrijf tegen toekomstige mogelijke digitale imago te behoeden. Door kritisch te kijken welke software leverancier je als bedrijf wel of zou willen gebruiken.

Het zou vervelend zijn als jouw bedrijf een mvo doel hebt / heeft niet inverteren of met wapens fabrikanten samen te werken. Het kan bedrijf / werkgever dan schaden als in de toekomst blijkt dat fox-it bijv weer in opspraak komt en dat het bijv spionage software aan vijandelijke Staten levert en jij moet bekennen dat he vrijwillig alle systeem gegeven door hun software laat scannen.
.
nieuws: FTM: Fox-IT wilde surveillancesoftware aan repressieve regimes verkopen

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

Anoniem: 1777010 @xbeam5 oktober 2022 13:44
Je stelt elke keer dat Fox-IT dit doet, maar als je de tool downloadt en draait, dan hebben zij er toch niets mee te maken?

Of heb je inmiddels een backdoor gevonden?
NextDigital @xbeam4 oktober 2022 22:31
Waar haal je het vandaan dat de “netwerk topologie” van je netwerk naar Fox-IT gestuurd wordt? Dit is enkel alleen een tool wat door een willekeurige incident responder gebruikt kan worden als hij/zij een forensisch onderzoek uitvoert. Het kan gebruikt worden om gemakkelijk en snel verschillende bronnen (denk aan bijvoorbeeld een volledige image van een server of een VMDK) van informatie te verwerken naar waardevolle forensische artefacts. Dit is geen tool wat data verstuurd richting het o zo slechte en enge Fox-IT. Dit is een tool wat gemaakt is om efficiënt en snel onderzoek te doen tijdens een incident. En to be honest vind ik het juist super nice dat ze dit publiek maken om andere mensen ook de kans te geven om met deze tool te werken.
NextDigital @xbeam4 oktober 2022 23:55
Ja wat je quote dat klopt inderdaad. De tool kan gebruikt worden om op grote schaal forensische gegevens te verzamelen van apparaten in een netwerk. Maar op wat baseer je jouw aanname dat al deze data elke keer als iemand Dissect gebruikt dit ook naar Fox-IT wordt gestuurd? Ik denk dat je de hele functie en toepassing van het programma niet snapt.
Mickman @xbeam4 oktober 2022 23:56
Het betreft een toolkit voor forensics waarmee je sneller analyses kunt doen op verzamelde informatie, zoals ze dat via aquire doen. (Ook een tool van Fox-IT). Volgens mij moeten ze voordat dissect een rol kan spelen toch eerst van alles een forensische kopie maken. Het analyseren van die forensische data gaat daarna met dissect veel sneller.

Dissect gaat niet jouw netwerk scannen en dat panklaar uitspugen.
xbeam @Mickman5 oktober 2022 00:27
Dat is mij dan uit het artikel niet duidelijk geworden, Omdat het artikel specifiek praat over het netwerk en kopie maken van het netwerk. Wat mij die indruk gaf en wat wij ook doen dat het artikel met kopie een volledige tcp-dump van het netwerk bedoelde waaruit de topologie van een netwerk en de gevonden (vermoedelijke) service per node worden geïndexeerd. Door de omschrijving in artikel ging ik er dus blijkbaar onterecht vanuit dat deze bij deze indexering in combinatie met de alle gevonden Windows/ server log files zou worden gecombineerd tot een samengesteld indexering en geverifieerde topologie waarbij de niet overeenkomende of afwijkende nodes of services sneller achter haalt konden worden.

[Reactie gewijzigd door xbeam op 27 juli 2024 12:00]

lesander @xbeam5 oktober 2022 08:11
De onduidelijkheid lijkt me terecht aangezien de auteur van het artikel de strekking van Dissect ook niet begrepen lijkt te hebben. Zie mijn eerdere reactie.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq