МКО Системы

Дайджест за 2022 год

#iOS #iOS-Агент #Android #Android-Агент #Скаут #Windows
Прошло уже больше месяца с момента, когда мы поздравляли друг друга с наступающим праздниками и желали всего самого доброго в новом 2023 году. Перед тем как мы подведем итоги 2022 года, хочется еще раз поблагодарить каждого за вашу обратную связь, активность и внимание. Благодаря совместной работе с вами мы и дальше будем достигать новых вершин, шагая только вперед.

Давайте вместе вспомним все самые яркие события и изменения программного обеспечения «Мобильный Криминалист» в 2022 году!

Расширяем горизонты исследования iOS-устройств

Согласно заявлению генерального директора компании Apple, в настоящее время по всему миру насчитывается более 1,8 миллиарда активных Apple-устройств. Предполагается, что через год эта цифра достигнет или превысит 2 миллиарда, поэтому сейчас эксперту как никогда важно иметь в своем арсенале инструмент для извлечения и анализа сведений из iOS-устройств.

В прошедшем году мы совершили значительный прорыв, добавив к уже хорошо знакомому инструменту для извлечения информации из смартфонов купертиновской компании, «Расширенное извлечение iOS», альтернативную возможность получения сведений новым методом: с помощью «iOS-Агента». Напомним, что «iOS-Агент» — решение от компании «МКО Системы», которое официальными методами от Apple устанавливается непосредственно на устройство как обычное непривилегированное пользовательское приложение. Стоит отметить, при установке «iOS-Агента» подпись приложения производится через персональный компьютер на Windows.

Данное решение открывает возможность извлечения и расшифровки записей хранилища Keychain и полной файловой системы из iPhone на версиях iOS 14.0 - 14.5.1, а также файловой системы на мобильных устройствах версий iOS 15.0 - 15.1.1, включая самые популярные модели, такие как iPhone 11, iPhone 12, iPhone 13 и многие другие. Использование нового метода позволяет исследовать фотографии, документы, переписку, контакты и другие данные, хранящиеся на устройстве, без необходимости установки jailbreak.
Конечно же, не перестает развиваться и ранее созданная опция получения данных c помощью инструмента «Расширенное извлечение iOS». Помимо расширения линейки поддерживаемых устройств в течение года, мы усовершенствовали метод выборочного извлечения данных. Если раньше инструмент позволял исследовать только ограниченное количество популярных приложений и группы стандартных сведений (звонки, сообщения, заметки и т. д.), то теперь отображается список всех приложений, установленных на устройстве, из которого можно выбрать интересующие для извлечения варианты.

Поддержка лидеров рынка Android-смартфонов

За прошлый год рынок мобильных устройств в России сильно изменился. Лидеры, которые довольно длительное время держали первые места, практически ушли, а пьедестал заняли китайские компании. Учитывая это, мы сделали большой акцент на Android-устройствах с пофайловым шифрованием на чипсетах MediaTek, к которым относятся гаджеты таких популярных брендов, как Xiaomi, Oppo и Realme. Помимо этого, наше программное обеспечение получает доступ ко второму пространству Xiaomi. В рамках метода «MTK Android» мы добавили возможность подбора пароля блокировки экрана второго пространства и, как следствие, расшифровки данных, хранящихся в нем.
Не забыли и о лидерах прошлого года. Улучшен метод по работе со смартфонами Samsung на чипсетах Exynos с пофайловым шифрованием и под управлением ОС Android 10 и 11, который теперь позволяет подобрать пароль экрана блокировки на устройстве для последующей расшифровки данных. Более того, мы реализовали поддержку чипсетов Kirin 985 и 820, благодаря чему стало возможно извлечь и расшифровывать данные из устройств Huawei многих дополнительных моделей, работающих под управлением ОС Android 9 и 10.

И даже это далеко не все. Наша собственная разработка для быстрого извлечения данных из разблокированных устройств Android, «МК Агент», пополнилась поддержкой таких приложений, как Zoom, Wickr Pro, Silent Phone, Kik Messenger и Firefox.

«Скаут» — универсальный инструмент форензики

С каждым выпуском новых версий продуктов, сильнее становился «Скаут», модуль для извлечения данных из персональных компьютеров, ноутбуков, внешних жестких дисков и исследования их образов.

Мы расширили ряд поддерживаемых системных и пользовательских артефактов, которые можно извлекать из компьютеров под управлением платформ macOS, Windows и GNU/Linux. Теперь программа собирает данные:

  • реестра UserAssist (Windows);
  • Most recently used (Windows);
  • артефакта RDP Cache (Windows);
  • Cryptnet User Cache (Windows);
  • WMI persistence (Windows);
  • Stage Manager (macOS);
  • Windows Diagnostic Infrastructure (WDI) для Windows;
  • кэша DNS для Windows в режиме анализа запущенной системы;
  • кэша ARP для Windows в режиме анализа запущенной системы;
  • сохранения и анализа правил межсетевого экрана Windows.

Мы сделали возможным исследование:

  • образов Lx01 и Ex01;
  • образов виртуальных машин в формате VMX и VBOX;
  • образов macOS, созданных через TimeMachine;
  • файловой системы APFS для ПК на macOS;
  • файловой системы exFAT при исследовании образов и дисков.

В дополнение, для сотрудников служб информационной безопасности добавлен агентский режим работы (предназначен для централизованного удаленного сбора данных с рабочих станций и серверов) и осуществлена поддержка поиска по задаваемым пользователем правилам YARA.

Также мы значительно улучшили интерфейс модуля, сделав его более удобным для пользователя.

Облачные сервисы: 100+ в одном

На сегодняшний день в России насчитывается более 130 миллионов пользователей сети Интернет, что составляет более 90% населения страны. Каждый проводит свой досуг в сети совершенно по-разному. Кто-то постоянно «сидит» в социальных сетях для развлечения или поиска полезной информации, а кто-то ищет более «интересные» способы для времяпрепровождения и заработка.

«Мобильный Криминалист» позволяет исследовать данные совершенно разных облачных сервисов: уже сейчас в поддержке продуктов под брендом «МК» более 100 облачных сервисов. В прошедшем году была реализована поддержка одной из самых неоднозначных социальных сетей OnlyFans, фитнес-трекеров Runkeeper и Mi Fit, мессенджеров Twist, Flock и Chatwork, а также WhatsApp QR Multi-Device. Помимо этого, мы добавили возможность расшифровывать сообщения резервной копии WhatsApp, зашифрованные с помощью нового алгоритма crypt15 в Android-устройствах.
Не упустить ни одной детали

При комплексной цифровой экспертизе большого массива данных важна каждая деталь. Аналитический функционал наших продуктов является довольно широким и многогранным. Тем не менее, в 2022 год мы реализовали несколько новых полезных функций:

  • инструмент анализа, который дает возможность сравнивать журналы звонков и сообщений с биллингами сотовых операторов, позволяя обнаружить намеренно удаленные данные;
  • получение географических координат с помощью сервисов OpenStreetMap и Mapbox для более точного определения интересующего адреса;
  • анализ всех пользовательских запросов из приложений, установленных на устройстве, включая те, для которых не отмечено время создания;
  • сортировка данных по нескольким столбцам.
Нейросети обладают значительным потенциалом влияния на нашу повседневную жизнь и ее улучшения. Их можно использовать для автоматизации задач и повышения их эффективности, оказания помощи в принятии решений, улучшения здравоохранения, повышения безопасности, а также расследовании преступлений. За этот год функционал «Распознавание лиц», основанный на работе нейросети, получил новые возможности, а именно:

  • выборочное распознавание лиц из раздела «Файлы»;
  • запуск механизма распознавания лиц на отдельных кадрах, при анализе видео и добавление найденных лиц в «Наборы лиц» (применяются для поиска совпадений на изображениях в других извлечениях);
  • распределение ресурсов на распознавание лиц между центральным (CPU) и графическим (GPU) процессорами.

Что нового мы подготовили на 2023 год?

Первое и самое главное — в ближайшее время мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Более того, по секрету расскажем, что мы готовим к запуску обновленный сайт с блогом и уже бронируем билеты, чтобы встретиться с вами на наших мероприятиях. Получить инсайты и знания можно не только на сайте, мероприятиях, но и на обучающем курсе от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится целых четыре потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных.

Следите за новостями на нашем сайте и в Telegram-канале 一 впереди много интересного :)