Sherlock jest naszym flagowym produktem dla platformy Windows, służącym do bardzo szybkiej, niewidocznej dla użytkownika, eksfiltracji danych z komputera na dysk USB.

Sherlock potrafi całkowicie automatycznie znajdować i kopiować:

• lokalne dyski twarde (również te zaszyfrowane Bitlockerem lub w inny sposób, które są podłączone lub możliwe do podłączenia bez podawania hasła)
• podłączone urządzenia USB i inne dyski zewnętrzne (również te zaszyfrowane Bitlockerem j/w)
• inne napędy lokalne (np. CD/DVD)
• udziały sieciowe: zarówno te zamapowane jako dyski, jak i wszystkie te, które nie są zamapowane, ale do których dostęp nie wymaga (jeszcze) ponownego podawania hasła
• bazy danych MSSQL (z instancji, które nie wymagają podawania hasła – tj. Windows/Mixed Authentication albo puste hasło administratora)

Dlaczego Sherlock? Jest tyle darmowych narzędzi…

Przewaga Sherlocka nad innymi narzędziami tego typu oparta jest na 4 filarach:

1. Sherlock może działać:
   • w pełnym ukryciu
   • maskując się jako 1 z 10 wykrywanych na komputerze programów antywirusowych (m.in. AVG, ESET, BitDefender, Kaspersky, McAfee)
   • maskując się jako odtwarzacz MP3 (może przy tym używać dowolnego wykrytego w systemie otwarzacza, np. VLC, Winampa itd.)
   • maskując się jako arkusz kalkulacyjny (w tym trybie wykrywana jest zainstalowana na komputerze wersja Excela, Excel Viewera albo LibreOffice, a arkusz będący „podkładką” jest w pełni funkcjonalny, również po ręcznym zapisaniu w innym miejscu, np. na pulpit)
   • maskując się jako inny program (stworzyliśmy ponad 60 gotowych rozwiązań, łączących realnie istniejące i działające programy, np. instalator Total Commandera, z funkcjonalnością Sherlocka)
2. Sherlock nie kopiuje danych tak po prostu. Jego sercem jest klasyfikator wartości danych, kopiujący dane we właściwej kolejności, od tych potencjalnie najbardziej wartościowych, poprzez coraz mniej wartościowych, aż po najmniej istotne. Dzięki temu, jeśli kopiowanie będzie musiało zostać przerwane po np. 30 sekundach, masz pewność, że te 30 sekund zostało wykorzystane w najlepszy możliwy sposób, na skopiowanie najbardziej wartościowych danych, a nie po prostu pierwszego lepszego katalogu.
3. Sherlock przede wszystkim, za wszelką cenę unika bycia wykrytym:
   • potrafi automatycznie wykrywać oprogramowanie DLP (Safetica, ObserveIT i McAfee DLP) działające w systemie, nawet w trybie ukrytym, po czym modyfikować swoje zachowanie tak, aby oprogramowanie to nie zarejestrowało żadnych podejrzanych aktywności
   • działa w pełni transparentnie dla użytkownika, unikając prób dostępu do tych zasobów, które mogły by zakończyć się niespodziewanym wyświetleniem użytkownikowi ostrzeżeń UAC, pytań o hasło itp.
4. Sherlock potrafi ominąć większość ograniczeń możliwych do nałożenia przez mechanizmy SRP, AppLocker, Statlook i podobne.

Kompatybilność

• Sherlock może działać samodzielnie, lub używać urządzeń Bash Bunny, USB Rubber Ducky, lub ich tańszych zamienników do jeszcze większej automatyzacji ataku.
• Sherlock działa ze wszystkimi wersjami Windows od XP SP1

Tryby zapisu danych

• Sherlock może kompresować kopiowane dane w tle za pomocą dołączonego programu RAR, aby zapis na docelowy nośnik odbywał się w 1-2 strumieniach (jest to niezbędne na małych ale powolnych pen drive’ach, np. SanDisk Ultra Fit, Emtec S200)
• Może także wielowątkowo kopiować dane przy pomocy istniejących narzędzi systemu Windows, omijając tym samym ograniczenia SRP, oraz wykorzystując możliwości szybkich dysków USB SSD, bądź urządzenia Bash Bunny.
• Pożądany tryb może być wykryty automatycznie, albo wymuszony na stałe w konfiguracji.

Jakie typy danych są rozpoznawane?

Standardowa wersja jest dostosowana do rozpoznawania danych i programów globalnych oraz specyficznych dla Polski:

• dokumentów, zdjęć i innych nieustrukturyzowanych danych użytkownika
• danych prawnych i notarialnych, włącznie z dostępem do repertoriów za pomocą wykrytego na komputerze oprogramowania (głównie Kancelaria Prawna i Kancelaria Notarialna autorstwa Wolters Kluwer)
• danych medycznych – za pomocą wykrytego oprogramowania Kamsoft, DrEryk, Comarch
• danych z systemów ERP (od małych rozwiązań Symfonia/Optima/Insert aż po rozwiązania Oracle)

Na życzenie klienta możemy przygotować reguły specyficzne dla dowolnego innego kraju (w niektórych krajach i przy niektórych typach oprogramowania może być potrzebna pomoc ze strony klienta).

Dostępność i informacje prawne

Sherlock jest zamkniętym oprogramowaniem, możliwym do zakupu tylko przez uprawnione organy:

• funkcjonariuszy policji i innych służb mundurowych
• pracowników służb specjalnych (w przypadku innych krajów przed zakupem niezbędne jest dostarczenie podstawy prawnej, legalizującej zakup)
• pracowników korporacji do użytku wewnętrznego przez Red Teamy (za pisemną akceptacją osoby na szczeblu Zarządu)

Użycie tego oprogramowania może być dodatkowo ograniczone przez prawo innego kraju, w którym miałoby ono zostać użyte. Użytkownik końcowy jest osobiście odpowiedzialny za wszelkie naruszenia przepisów prawa i/lub obowiązków służbowych związane z użyciem oprogramowania.

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Więcej informacji dostępnych po podpisaniu umowy wstępnej i NDA.

Ceny

Każdy egzemplarz Sherlocka podlega wycenie indywidualnej, w zależności od przygotowanych dla klienta reguł wykrywania oprogramowania specyficznego dla danego kraju lub branży, a także sposobu maskowania jego obecności.

W najbardziej podstawowym przypadku, ceny zaczynają się od 80 000 PLN netto i zawsze obejmują proces dostosowania do wymogów klienta.