About Teletype
Join
Мобильный Криминалист
@mk_software
July 3, 2023

Дайджест первого полугодия 2023 года 

Первая половина 2023 года была очень насыщена на события, как в области мобильной, так и в области компьютерной криминалистики. За первые 6 месяцев упорной работы команда «МКО Системы» представила 4 усовершенствованных версии «Мобильного Криминалиста».

Давайте вместе вспомним все самые яркие события и изменения программного обеспечения первого полугодия 2023 года!

Какие новинки в поддержке Android-смартфонов

Сегодня чипсеты MTK применяются в смартфонах и планшетах всех ценовых групп, которые успешно захватывают российский рынок. Ежегодно различные компании выпускают более 1,5 миллиардов устройств на чипсетах MediaTek. Это гаджеты от таких известных брендов, как: Samsung, Xiaomi, Huawei, Motorola, Nokia, Oppo, Realme, и многих других малоизвестных брендов. Несмотря на свою относительно невысокую цену, современные смартфоны на базе чипсетов MediaTek оснащены технологией защиты данных с использованием аппаратного шифрования.

Мы следим за трендами и планомерно расширяем линейку поддерживаемых Android-устройств, работающих на базе чипсетов MediaTek. В рамках уже существующего метода извлечения MTK-устройств добавлена поддержка устройств на платформе MT6765 и МТ6761.

Популярным брендом среди Android-устройств на чипсетах Mediatek является Samsung, смартфоны от которого мы также поддерживаем, предоставляя возможность подбора пароля, извлечения и расшифровки данных из Samsung-устройств с пофайловым шифрованием и доверенной средой исполнения TEEGRIS на чипсете MediaTek MT6768 и предустановленных версиях Android 9 и выше.

Если говорить о Samsung, нельзя не сказать о важном обновлении метода «Samsung Exynos дамп», который не только поддерживает уже более 190 моделей смартфонов на чипсетах Exynos, но теперь позволяет подобрать пароль экрана блокировки на устройствах, оснащенных функцией как полнодискового, так и пофайлового шифрования данных.

Стоит отметить развитие инструмента по извлечению данных из Huawei-смартфонов, базирующихся на чипсетах компании Qualcomm, а именно Huawei Qualcomm дамп. Программа поддерживает извлечение данных из устройств Huawei на QualcommSDM450. Многие пользователи по всему миру знают их как производительные и защищенные смартфоны.

Несмотря на то, что телефоны китайского бренда на чипсетах американской компании не выходили с 2019 года, они до сих пор предлагают достаточно высокий уровень безопасности пользовательских данных.

Тем не менее, и в них есть ряд уязвимостей, эксплуатация которых дает возможность получить доступ к хранящейся в смартфонах пользовательской информации. Обновленный «Мастер Извлечения Данных» получает и расшифровывает полный физический образ телефонов.

Функцией пофайлового шифрования теперь обладают также устройства производителя Unisoc (Spreadtrum). «Мобильный Криминалист» извлекает физический образ и аппаратные ключи шифрования из смартфонов на чипсетах T610, T618, T700 на Android с версиеи‌ 10 и выше.

Расширяем возможности исследования iOS-устройств

В настоящее время рынок мобильный устройств продолжает испытывать большие изменения. Несмотря на планомерное сокращение доли Apple на российском рынке, по количеству используемых смартфонов американская компания всё ещё находится в тройке лидеров. По самым скромным подсчетам, сегодня жители нашей страны используют 13 миллионов iPhone, поэтому важно иметь в своем арсенале инструмент для извлечения и анализа сведений из iOS-устройств, чтобы быть готовым ко всему.

В этом году мы продолжили развитие инструмента инструмента «iOS-Агент». Напомним, что «iOS-Агент» — решение от компании «МКО Системы», которое официальными методами от Apple устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение. Стоит отметить, при установке «iOS-Агента» подпись приложения производится через персональный компьютер на Windows. Помимо расширения линейки поддерживаемых устройств до iPhone 14 и версий iOS 15.0 - 15.7.1 и 16.0 - 16.1.2, мы добавили возможность извлечение полной файловой структуры и данных Keychain из Арре-устройств на версиях iOS 15.0 - 15.4.1, от iPhone XS до iPhone 13, без необходимости подписи приложения.

Более того, извлечение полной файловой системы и данных хранилища Keychain из Apple iPhone 7 и iPhone 7 Plus на версиях iOS 14.0 - 15.7.3 при помощи уже хорошо знакомого метода «iOS с использованием checkm8» более не требует предварительного отключения пароля блокировки экрана.

«Скаут» — путь к лидерству в области форензики

Число различных кибератак в РФ в первом квартале 2023 года выросло в полтора раза в сравнении с аналогичным периодом 2022 года, до 290 тыс. Основой расследования инсайдерской деятельности, атак вредоносных программ и других инцидентов информационной безопасности является исследование данных персональных компьютеров. Задачу анализа сведений рабочих станций на Windows, macOS и GNU/Linux решает «Скаут» 一 один из модулей программного обеспечения бренда «Мобильный Криминалист».

Мы провели большую работу и изменили начало процесса исследования ПК, образов и внешних дисков, заменив выбор режимов поиска на выбор предустановленных профилей поиска данных с широким набором различных комбинаций. Новый подход позволяет значительно сэкономить время и исследовать только требуемые данные. Например, все приложения, пароли и токены или все документы и изображения, хранящиеся на компьютере. Модуль также предоставляет возможность создания, сохранения и загрузки собственных профилей. А также добавили возможность отслеживать в реальном времени, на какой стадии находится поиск и какие этапы остаются в очереди, через отображение каждой отдельной задачи поиска на главном экране модуля.

Из больших обновлений стоит выделить две новые функции модуля «МК Скаут» по работе с источниками данных. Первая — анализ образов оперативной памяти ОС Windows в формате RAW или DMP. Теперь исследование образов дисков возможно произвести одновременно с исследованием одного или нескольких плагинов оперативной памяти. При этом, данные, найденные в оперативной памяти, автоматически применяются для получения дополнительной информации из образа диска.

Вторая новая возможность — исследование физических образов и внешних дисков с технологией управления томами Logical Volume Manager на платформе Linux, для полноценного изучения которых требуется подключить одновременно несколько физических или побитовых образов этих дисков. Наши разработчики реализовали решение, которое уведомляет пользователя о необходимости добавления дополнительных источников информации, после чего формирует из нескольких образов единое логическое пространство и исследует его так же, как раздел обычного диска.

Обнаружение вредоносных объектов

Совместно с компанией̆ «Лаборатория Касперского» в программном продукте «Мобильный Криминалист Эксперт Плюс» мы реализовали функцию сканирования извлеченных данных на наличие вредоносных объектов. Встроенный инструмент позволяет обнаружить угрозы как на исследуемом ПК, внешнем жестком диске и в их образах, так и в файловой структуре ранее полученных извлечений из любых цифровых источников.

Облачные сервисы: что нового?

Аналитики медиахолдинга Rambler&Co опросили жителей России и выяснили, что более трети респондентов (39%) ежедневно проводят больше пяти часов в интернете, при этом 15% из них — от 5 до 6 часов, 24% — более 7 часов. Каждый проводит свое время в сети совершенно по-разному. Кто-то использует Интернет для просмотра развлекательных роликов в социальных сетях, а кто-то видит социальные сети в качестве инструмента для заработка.

«Мобильный Криминалист» позволяет исследовать данные совершенно разных облачных сервисов: уже сейчас в поддержке продуктов под брендом «МК» более 100 облачных сервисов. В первом полугодии была реализована поддержка программы для хранения паролей LastPass, трекера здоровья Huawei Health и значительно расширены возможности извлечения данных из облачного сервиса Telegram (извлечение тем групповых чатов, коллекционных публичных имен, реакций и истории событий чатов).

Аналитический Центр Криминалист — эффективный инструмент для анализа данных

На протяжении многих лет мы разрабатываем программные комплексы, предназначенные не только для извлечения, но и для анализа данных из самых разнообразных цифровых источников. Каждый продукт линейки «МК» позволяет сделать процесс расследования не только более эффективным, но и более быстрым и комфортным.

9 марта 2023 года наша компания представила «Аналитический Центр Криминалист» 2.0 一 клиент-серверное приложение от компании «МКО Системы». Данное решение позволяет одному или нескольким пользователям одновременно анализировать массив данных из полной базы загруженных извлечений:

  • поиск ключевых данных по всей базе загруженных извлечений;
  • автоматический анализ текста по предустановленным
    тематическим словарям;
  • сравнение данных из нескольких дел или отдельных извлечений между собой для поиска совпадающих элементов;
  • и многое другое (подробнее о программе).

Планы на второе полугодие 2023 года

Первое и самое главное — в ближайшее время мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Готовим к запуску обновленный сайт с блогом и уже бронируем залы, чтобы встретиться 14-15 числа на «Moscow Forensics Day» в Москве и осеннем цикле семинаров. И, конечно, готовим новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится еще два потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных.

Следите за новостями на нашем сайте и в Telegram-канале 一 впереди много интересного :)

Мобильный Криминалист
July 3, 2023, 07:45
1 reaction
0 views