В 2024 году сфера цифровой криминалистики совершила очередной рывок вперед. Мобильные устройства и компьютерные системы становятся все более защищенными, но это не останавливает экспертов, которые стремятся не только догонять, но и опережать рынок. За 12 месяцев работы команда «МКО Системы» подготовила выпуск шести усовершенствованных версий «Мобильного Криминалиста».
Ниже мы собрали обзор ключевых возможностей, появившихся в «Мобильном Криминалисте» за последнее время. Давайте вместе вспомним все самые яркие события и изменения программного обеспечения 2024 года!
Новинки в поддержке Android-смартфонов
Android уже несколько лет подряд удерживает лидирующую долю на рынке мобильных устройств. По данным сервиса StatCounter за декабрь 2024 — январь 2025 года, Android занимает около 72,3 % мирового рынка мобильных операционных систем, тогда как на iOS приходится порядка 26,8 %.
За год ситуация не изменилась, и лидером в области производства чипсетов для различных устройств остается компания MediaTek (МТК), которая уже успела значительно укрепиться и на российском рынке.
Уже более девяти лет в нашем программном обеспечении реализован механизм извлечения данных из Android-устройств на базе чипсетов MTK. Вместе с эволюцией самих гаджетов непрерывно совершенствуются и наши инструменты. Например, в рамках существующего метода работы с MTK-устройствами в 2024 году появилась поддержка чипсетов MT6750, MT6767, MT6771, MT6781, MT6797, MT6873, MT6877, MT6885 и MT6891, а также реализована поддержка Samsung-устройств на чипсетах MediaTek со свежей версией TEEGRIS, выпущенных после середины 2023 года.
Другие популярные китайские чипсеты также не остались без внимания. Начиная с марта 2024 года, мы также добавили в поддержку устройства Samsung на чипсете Unisoc SC9863A и версиях Android 10–13. Так, для извлечения стали доступны устройства Samsung A03 Core и Samsung A03.
Отдельного упоминания заслуживает развитие механизма извлечения данных из Qualcomm-смартфонов. «Мобильный Криминалист» поддерживает устройства на чипсетах Qualcomm Snapdragon (SDM) 665, 675, 710, 730, 845 и 855. Несмотря на то, что данные гаджеты считаются надежными и производительными, в них все же обнаружены уязвимости, позволяющие получить физический образ и аппаратные ключи шифрования.
Не обошлось и без новых эксплойтов: в сентябре была добавлена поддержка root-эксплоита CVE-2024-31317 в методе «Полная файловая система». Он применим к Android-устройствам версий 9–14 с патчем безопасности до 1 июня 2024 года и дает доступ к пользовательским данным приложений (data/data) и внутреннему хранилищу разблокированных устройств, таких как Xiaomi 11T, Xiaomi 12T Pro, Samsung S22+, Samsung A30, Samsung A31 и многих других.
В дополнение, «Android-Агент», наша собственная разработка для быстрого извлечения данных из разблокированных Android-устройств, теперь поддерживает Opera Browser, Slack, вторую авторизованную учетную запись WhatsApp и WhatsApp Business (включая контакты, чаты и звонки).
Улучшаем возможности исследования iOS-устройств
Несмотря на растущий уровень защищенности Apple-устройств, специалисты продолжают находить уязвимости и разрабатывать методы комплексного извлечения данных.
За прошедший год мы значительно усовершенствовали инструмент «iOS-Агент»: теперь он позволяет извлекать полную файловую систему и данные Keychain из iPhone 6s и iPhone 7 (iOS 15.2–15.8.2), а также из iPhone 8–iPhone 10 (iOS 15.2–16.6.1). Кроме того, в «МК» стала возможна работа с устройствами на чипсетах A12–A16, M1 и M2 под управлением iOS до 16.6.1, а за счет уязвимости CVE-2023-23536 — извлечение ключевых данных из iPhone на чипсетах A9–A13 и iPad на чипсетах A8, A8X–A12, A12X, A12Z (iOS 13.0–13.7).
Отдельного внимания заслуживает обновление метода «iOS с использованием checkm8», которое в дополнение к ранее поддерживаемым версиям iOS позволяет исследовать iPad mini (4-го поколения) на iOS 14.8.1–15.8.3, iPad (5-го поколения) на iOS 16.4–16.7.10, а также iPad (6-го и 7-го поколения) на iOS 16.4–16.7.2.
Помимо этого, в методе «iOS с использованием checkm8» реализована возможность пропускать перевод устройств в режим восстановления, а также добавлены пошаговые инструкции по переходу iPhone в DFU (Device Firmware Update) через контактные точки.
«МК Скаут»: новые возможности
Согласно данным центра мониторинга и реагирования на кибератаки RED Security SOC, за период с 2023 по 2024 год в России количество инцидентов информационной безопасности в компаниях выросло в 2,5 раза и приблизилось к отметке в 130 тысяч. В подобной обстановке особенно важно иметь надежный инструмент для извлечения данных из рабочих станций на Windows, macOS и GNU/Linux. Именно эту задачу решает «МК Скаут» — один из ключевых модулей ПО «Мобильный Криминалист».
Обновления модуля «МК Скаут» за 2024 год можно разбить на четыре основные группы.
- Поиск файлов по сигнатурам
Теперь модуль ищет не только документы Microsoft Office, но и разнообразные текстовые файлы (Plain text file, INI, YAML, JSON, RTF, XML).
- Расширение списка приложений и системных артефактов
«МК Скаут» научился извлекать информацию из Outlook (macOS), OpenOffice (Windows, GNU/Linux), менеджера паролей 1Password (Windows, macOS, GNU/Linux), Box Drive (Windows, macOS), браузера DuckDuckGo (Windows, macOS) и множества других источников — включая Bitwarden (Windows, macOS, GNU/Linux), KeePass (Windows, GNU/Linux), эмулятор BlueStacks (Windows), 7-Zip (Windows), SSH-ключи (Windows), браузер Brave Nightly (Windows, macOS, GNU/Linux), а также других приложений. Помимо этого, модуль позволяет извлекать информацию о пакетах, установленных посредством системы Snap, и Flatpak (GNU/Linux), а также сведения об установленных приложениях из файла реестра пользователя (Windows).
- Удобство работы с данными
В модуле появился прогресс-бар процесса сохранения файлов или списка файлов. Кроме того, реализована возможность прямого импорта данных, полученных «МК Скаутом», в программу — теперь нет необходимости сначала сохранять их локально. А на вкладке «Зашифрованные данные» отображается количество найденных паролей.
- Сохранение образов дисков
Модуль «МК Скаут» в составе «МК Десктоп» дает возможность создавать побитовые образы дисков или разделов исследуемых станций в форматах RAW или E01. Для сохранения доступны зашифрованные и расшифрованные образы. Зашифрованный образ возможно сохранить без изменений или расшифровать в окне сохранения.
Встроенное преобразование аудио в текст
Машинное обучение открыло новые возможности и в сфере цифровой криминалистики. Теперь в «Мобильном Криминалисте» реализован функционал, позволяющий преобразовывать любые аудио- и видеофайлы в текст без использования стороннего ПО.
Данная опция доступна в секции «Распознавание текста и речи». Для начала работы с инструментом требуется скачать его дистрибутив на личной странице пользователя. После установки в указанной секции появится опция распознавания отдельных файлов.
«Мобильный Криминалист» предоставляет возможность распознавания речи всех поддерживаемых программой аудио- и видеофайлов, включая самые известные форматы: m4a, mp3, webm, mp4, mpga, wav, mpeg. Для эффективной работы с модулем можно выбрать языковую модель распознавания, что влияет на время и качество обработки текста, а также настроить задействование ресурсов рабочей машины: доступны опции работы только на центральном процессоре, только на графическом процессоре или их совместное использование.
Дополнительным преимуществом служит интеграция с полнотекстовым поиском: активировав чекбокс «Распознанные речь/текст» в секции «Поиск» и вписав желаемые ключевые слова, возможно моментально найти нужную информацию в большом массиве данных.
Пополнение списка возможностей для подбора паролей
В первом полугодии 2024 года был представлен модуль «МК Брутфорс» — разработка компании «МКО Системы», предназначенная для подбора паролей и хэшированных значений к зашифрованным данным. Изначально он позволял работать с код-паролями для Telegram Desktop, резервными копиями iTunes, заметками Apple Notes, архивами Zip и 7-Zip, а также с системами шифрования BitLocker и FileVault 2. Во втором полугодии функциональность «МК Брутфорс» расширилась: теперь модуль успешно подбирает пароли к резервным копиям Android, архивам RAR и файлам MS Office (Word, Excel, PowerPoint). Кроме того, у него появилась собственная страница на нашем сайте, где вы можете подробнее ознакомиться со всеми возможностями модуля и скачать его бесплатную версию: https://docs.mko-systems.ru/mk_bruteforce_free
Что нового в облачных сервисах?
Согласно последнему отчету Digital 2024 Global Overview Report, опубликованному DataReportal, число пользователей социальных сетей в России достигло примерно 112 млн человек, что составляет около 77,8% от общего числа жителей страны.
Уже сегодня «Мобильный Криминалист» позволяет исследовать данные различных облачных сервисов — поддерживаются более 100 платформ. В первом полугодии 2024 года была добавлена поддержка онлайн-сервиса Steam для цифрового распространения игр и программ, разработанного и поддерживаемого компанией Valve. Теперь возможно извлечение такой информации из сервиса, как контакты, чаты, история авторизаций, покупок, лицензии, обзоры, данные о группах и учетной записи пользователя, а также реализована авторизация по QR-коду. Во втором полугодии в модуле «МК Облачные сервисы» была добавлена поддержка капчи нового поколения и возможность прохождения 2FA по паролю и коду из SMS для Yandex, а также разработан функционал извлечения геоданных и информации о видеозвонках из сервиса WhatsApp Cloud.
Планы на 2025 год
В ближайшее время мы выпустим новые версии программных продуктов «Мобильный Криминалист»! Мы уже забронировали залы, чтобы встретиться с вами 27 февраля в Москве, 11 марта в Екатеринбурге и 25 марта в Уфе на нашем зимне-весеннем цикле семинаров. Мы также продолжаем набор на новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится три потока курса, где мы не только расскажем о теоретических аспектах, но и на практике применим наши наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных.
Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного!
