В первой половине 2024 года произошло множество значимых событий в областях мобильной и компьютерной криминалистики. Команда «МКО Системы» за первые шесть месяцев интенсивной работы выпустила три улучшенные версии «Мобильного Криминалиста».
Давайте вместе вспомним ключевые моменты и изменения, которые отметили первое полугодие 2024 года!
Что нового в поддержке Android-смартфонов?
Мобильные устройства стремительно заняли одно из ведущих мест на рынке технологической индустрии. Уже сегодня в мире, только по самым примерным подсчетам, насчитывается более 7,21 млрд смартфонов различных производителей и ценовых групп.
Лидерами в области производства чипсетов для различных устройств является компания MediaTek, которая уже успела захватить и рынок России. По самым свежим подсчетам, различные компании выпускают более 2 миллиардов устройств за год на чипсетах MediaTek!
В нашем ПО больше девяти лет реализована функция извлечения данных из Android-устройств на чипсетах MTK. С развитием этих гаджетов все это время развивается и наш функционал. В рамках существующего метода извлечения из MTK-устройств добавлена поддержка устройств на чипсетах MT6771, MT6873, MT6877, MT6781, MT6750 и МТ6885.
Также была проведена большая работа и с другими китайскими устройствами. Как вы уже поняли, речь пойдет про смартфоны на чипсетах Unisoc (прошлое название — Spreadtrum). Недооценивать их не стоит, так как можно без преувеличения сказать, что компания Unisoc смогла в 2019 году потеснить на рынке чипсеты MediaTek. И это несмотря на то, что, по оценкам различных экспертов, процессор SC9863A был далеко не идеален. Многие критики обращали внимание на его недостатки и писали, что он серьезно уступает MediaTek Helio A22. Но невзирая на критику, новый процессор нашел свою нишу на рынке благодаря обширным возможностям и оптимальной цене. Еще с ноября 2023 года вы могли найти данный чипсет в поддержке «МК», как и добавленные ранее чипсеты Unisoc T606, T616, T612, T310 и другие. Что касается ограничений, то единственное условие — операционная система Android версий 10 - 13. Начиная с марта 2024 года, в поддержку добавились также устройства Samsung на этом чипсете. По ограничениям версий Android изменений нет, но для извлечения стали доступны устройства Samsung A03 Core и Samsung A03.
Стоит отметить развитие инструмента по извлечению данных из Qualcomm-смартфонов. Теперь программа поддерживает извлечение информации из устройств на чипсетах Qualcomm Snapdragon (SDM) 665, 675, 710, 730, 845 и 855.
До сих пор многие пользователи устройств по всему миру оценивают их как защищенные и производительные гаджеты. Но даже в них есть ряд уязвимостей, что позволяет получить физический образ и аппаратные ключи устройства.
В заключение, наша собственная разработка для быстрого извлечения данных из разблокированных устройств Android — «Android-Агент» — пополнилась поддержкой приложения Opera Browser и данных второй авторизованной учетной записи WhatsApp и WhatsApp Business, включая относящиеся к ней контакты, чаты и звонки.
Расширяем возможности исследования iOS-устройств
Популярность Apple-устройств на российском рынке снова начинает набирать обороты, даже несмотря на официальное прекращение продаж. Согласно информации «Известий», только в январе 2024 года iPhone составили 14 % от всех проданных онлайн смартфонов в России, заняв второе место среди всех брендов. Более того, онлайн-продажи iPhone за год выросли на 60 %, а доля бренда на рынке — на 2 %.
В первом полугодии приятные обновления произошли и с инструментом «iOS-Агент». В дополнение к линейке ранее поддерживаемых версий, инструмент теперь позволяет извлечь полную файловую структуру и данные Keychain из устройств iPhone 6s и iPhone 7 на версиях iOS 15.2 - 15.8.2 и iPhone 8 - iPhone 10 нa iOS 15.2 - 16.6.1.
Помимо этого, в методе извлечения «iOS-Агент» реализована возможность пропуска перевода Apple-устройств в режим восстановления, а также добавлены инструкции по переводу устройств iPhone в режим DFU (Device Firmware Update) с помощью контактных точек.
«МК Скаут» значительно расширяет список исследуемых источников
Согласно статистике компании Qrator Labs, только за 1-й квартал 2024 года количество смешанных мультивекторных кибератак выросло почти в два раза. Очевидно, что сегодня технологии продолжают развиваться и вместе с ними совершенствуются и инструменты для проведения атак, а также увеличиваются доступные злоумышленникам ресурсы.
Мы постоянно следим за трендами и провели большую работу по улучшению возможностей модуля «МК Скаут». За первое полугодие было значительно расширено количество приложений и системных артефактов. Давайте рассмотрим подробнее!
Во-первых, с помощью модуля «МК Скаут» возможно провести поиск файлов для формата Microsoft Office и текстовых файлов (Plain text file, INI, YAML, JSON, RTF, XML) с использованием правил поиска по сигнатурам. Более того, теперь стали доступны для исследования такие системные артефакты, как данные о пакетах, установленных посредством системы Snap для платформы GNU/Linux, и установленных приложениях из файла реестра пользователя для платформы Windows.
Во-вторых, был значительно расширен список поддерживаемых приложений, а именно добавлены: электронная почта Outlook (macOS), торрент-клиенты μTorrent, BitTorrent (Windows) и Transmission (Windows, macOS и GNU/Linux), офисное приложение OpenOffice (Windows и GNU/Linux), менеджер паролей 1Password (Windows, macOS и GNU/Linux), приложения Box Drive (Windows, macOS), Box Tools (Windows, macOS), Steam (Windows, macOS и GNU/Linux), антивирус Microsoft Defender (Windows), браузер DuckDuckGo (Windows, macOS) и другие приложения.
Среди приятных обновлений, в модуле «МК Скаут» добавлены подробный прогресс-бар процесса сохранения и возможность его остановки на любом этапе по требованию.
Подбор пароля: миф или реальность?
В марте этого года мы выпустили новый модуль, основанный на методе брутфорса, который позволяет подбирать пароли путем перебора.
Если быть точнее, то «МК Брутфорс» — новая разработка компании «МКО Системы», предназначенная для подбора паролей или хэшированных значений к зашифрованным данным. Для ускорения подбора пароля возможно задействовать один или нескольких графических процессоров используемой рабочей станции. В основе функционала модуля лежит инструмент hashcat, известный как одно из лучших общедоступных решений для подбора паролей.
Сегодня «МК Брутфорс» позволяет:
• создавать атаки на подбор пароля с помощью различных словарей и масок;
• запускать атаки одну за другой до тех пор, пока пароль не будет подобран;
• экспортировать подобранный пароль для расшифровки исходных данных или использования в других целях.
На данный момент модуль обладает функционалом подбора код-паролей для Telegram Desktop, паролей к резервным копиям iTunes, заметкам Apple Notes, архивам Zip и 7-Zip, а также к дискам и разделам дисков, зашифрованным BitLocker и FileVault 2.
Какие новинки в облачных сервисах?
Согласно статистике DataReportal, We Are Social и Meltwater, к настоящему моменту в Российской Федерации проживает 144,2 млн человек, из которых 130,4 млн имеют доступ к Интернету и активно им пользуются — проникновение сети в стране достигло 90,4%. Более того, уже в начале 2024 года число пользователей социальных сетей в России составило 106 млн человек, то есть 73,5 % от общего населения.
Напомним, что «Мобильный Криминалист» позволяет исследовать данные разных облачных сервисов: уже сейчас в поддержке продуктов под брендом «МК» — более 100 подобных платформ. В первом полугодии 2024 г. была реализована поддержка онлайн-сервиса Steam для цифрового распространения компьютерных игр и программ, разработанного и поддерживаемого компанией Valve. Теперь исследователю может быть доступна такая информация сервиса, как контакты, история авторизаций, история покупок, лицензии, обзоры, информация о группах и об учетной записи пользователя.
Планы на второе полугодие 2024 года
В ближайшее время мы выпустим новые версии программных продуктов «Мобильный Криминалист»! И уже забронировали залы, чтобы встретиться с вами 12 и 13 сентября 2024 года на «Moscow Forensics Day» в Москве и летне-осеннем цикле семинаров. Мы также продолжаем набор на новые потоки обучающего курса от нашей компании «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов, персональных компьютеров». В этом году состоится еще два потока курса, где мы не только расскажем о теоретических аспектах, но и на практике используем наработки по извлечению информации из различных цифровых источников, а также по обходу защитных механизмов мобильных устройств разных брендов и анализу полученных данных.
Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного :)