Мобильный Криминалист обзавелся уникальной функцией извлечения данных

Мобильный Криминалист обзавелся уникальной функцией извлечения данных

«Оксиджен Софтвер», российский разработчик и поставщик передовых средств для экспертного исследования данных мобильных устройств, облачных сервисов, дронов и ПК, представляет новую версию своего флагманского продукта «Мобильный Криминалист Детектив» 11.3, в которой представлены уникальные возможности по расшифровке физических образов устройств на чипсетах MTK MT6737, реализовано извлечение и расшифровка ключей шифрования из Android KeyStore, добавлена поддержка приложения для iOS и облачного сервиса Яндекс.Такси.

Мы первые в области мобильной криминалистики предоставляем извлечение и расшифровку физического образа устройств на чипсетах MT6737, защищенных аппаратным шифрованием и с активированным режимом Secure Startup. Расшифрованный физический образ содержит полную файловую структуру исследуемого устройства.

Более того, нами было реализовано извлечение и расшифровка ключей шифрования приложений из Android KeyStore. В этом хранилище содержатся ключи таких приложений, как Signal, Threema, Amazon Alexa и др. С помощью полученных ключей открывается полный доступ к данным приложений, для которых они предназначены. В версии 11.3 возможность расшифровки реализована для мессенджера Signal, но список приложений, поддерживающих данную функциональность, будет пополняться.

В новостях все чаще появляются заголовки о противоправных действиях, совершенных в автомобилях такси. Это подтолкнуло нас на добавление поддержки самого популярного в России приложения онлайн-заказов такси Яндекс.Такси и его облачного сервиса. Программа извлекает из приложения данные учетных записей, информацию о кредитных картах, поездках, сохраненных адресах для Android-устройств. Для iOS-устройств доступны данные учетной записи, информация о последней поездке и координаты последнего местоположения владельца устройства. Из облачного сервиса Яндекс. Такси извлекаются персональные данные владельца учетной записи, информация о поездках, водителях, автомобилях и избранные места.

«Добавление нового функционала для извлечения данных из мобильных устройств – это то, над чем постоянно работают наши специалисты», - говорит Сергей Соколов, генеральный директор «Оксиджен Софтвер». «Постоянное исследование актуальных проблем в мире мобильной криминалистики указало нам на необходимость внедрения в программу дополнительных инструментов по работе с аппаратным шифрованием. Поэтому уже в версии 11.3 реализована расшифровка физических образов на чипсетах MTK, защищенных аппаратным шифрованием и добавлено извлечение ключей шифрования из системного хранилища Android KeyStore. Для нас потребности и запросы пользователей всегда являются приоритетом, поэтому мы сделали поддержку приложения для iOS и облачного сервиса Яндекс.Такси, а также расширили категории данных, извлекаемых из этого приложения на Android-устройствах. Мы всегда стараемся делать акцент на уникальности добавляемого функционала, это отличает нас в своей отрасли».

В 11.3 был обновлен модуль «Скаут». Была добавлена возможность поиска и сохранения резервных копий iTunes. Найденные резервные копии можно импортировать и проанализировать. Кроме того, появилась возможность извлечения учетных данных из портативных версий программ и программ, установленных по нестандартному пути. Теперь эксперты могут выбрать подходящий режим поиска: Быстрый, Оптимальный или Полный. Рассматриваемый функционал работает при выборе режимов поиска Оптимальный или Полный.

Наконец, мы расширили список сервисов Apple и добавили поддержку картографического облачного сервиса Apple Maps, содержащего информацию о владельце учетной записи, гео-координаты и фотографии мест из истории поиска и избранных точек.

Помимо представленных улучшений программы, можно отметить другие важные обновления версии 11.3:

  • Мастер Извлечения Данных. Реализован импорт физического образа Android, полученного при помощи MSAB XRY.
  • Мастер Извлечения из Облачных Сервисов. В сервис Google Drive добавлена возможность выбора формата загружаемых файлов, таких как: документы, таблицы, презентации и т.д. 
  • Мастер Извлечения Данных. Импорт логов полета дронов. Реализован фильтр данных на основе серийного номера дрона, запрещающий одновременный импорт логов полета от разных дронов одной и той же модели.
  • Мастер Извлечения из Облачных Сервисов. Добавлена поддержка нового API для сервиса Google Photos. 
  • Мастер Извлечения из Облачных Сервисов. Добавлена поддержка сервиса My Parrot Cloud. 
  • Мастер Извлечения из Облачных Сервисов. Обновлен алгоритм авторизации для всех сервисов iCloud.

«Мобильный Криминалист» 11.3 поддерживает 461 уникальное приложение, более 9 600 версий приложений и 27 000 моделей устройств!

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky открывает доступ к функциям системы информирования об угрозах

Хорошие новости для аналитиков SOC-команд и экспертов по реагированию на инциденты: «Лаборатория Касперского» открыла свободный доступ к базовым функциям Kaspersky Threat Intelligence. Напомним, что данный портал является единой точкой входа в глобальную систему информирования об угрозах.

Таким образом, специалисты, работающие как штатно, так и у поставщиков услуг, смогут быстро сортировать киберинциденты по степени риска, а также выбирать наиболее эффективные меры борьбы с угрозами.

Все это станет возможным благодаря доступу к актуальной и постоянно обновляемой базе знаний, куда входит информация о тактиках и техниках современных киберпреступников.

Исследования «Лаборатории Касперского» показали, что лишь 31% компаний использует потоки данных об угрозах. При этом ещё 19% планируют выделить на это бюджет в следующем году. Вопрос: что же мешает бизнесу? Ответ: высокая стоимость таких сервисов.

Решению этой проблемы частично может поспособствовать доступ к Kaspersky Threat Intelligence. Благодаря сервису «Лаборатории Касперского» эксперты и аналитики смогут проверять до ста подозрительных объектов: IP, URL, домены, контрольные суммы файлов. В результате специалистам станут доступны актуальные и подробные данные, среди которых можно выделить название угроз, статистику и информацию об их активности.

Четко организованная работа Kaspersky Threat Intelligence позволяет системе ежедневно обнаруживать более 346 тысяч новых злонамеренных объектов. Среди продвинутых технологий, используемых этим порталом, есть эвристический анализ и облачная песочница Kaspersky Cloud Sandbox.

Артём Карасёв, старший менеджер по маркетингу сервисов кибербезопасности «Лаборатории Касперского», рассказал Anti-Malware.ru, что в будущем антивирусная компания планирует запустить API для зарегистрированных пользователей. Следовательно, появится возможность для автоматизации поиска угроз в сети.

Поскольку фиды являются коммерческим сервисом, «Лаборатория Касперского» не предоставляет его бесплатно. Однако Артём Карасёв подчёркивает:

«Данный сценарий можно покрыть использованием CyberTrace (до одного миллиона индикаторов можно всегда будет грузить бесплатно), а также нашими demo-фидами и возможностью формировать свои "чёрные списки"».

Помимо этого, в ходе общения с Карасёвым, у Anti-Malware.ru справедливо возник вопрос: нет ли риска, что злоумышленники будут использовать Kaspersky Threat Intelligence, чтобы просмотреть информацию о своих разработках.

«Теоретически у злоумышленников уже сейчас есть такая возможность: например путем тестирования потенциальных вредоносов на машинах с установленными защитными решениями или через другие публичные сервисы вроде VirusTotal», — ответил Артём.

«Мы наоборот заинтересованы в анализе неизвестных угроз, так как "Лаборатория Касперского" обладает различными технологиями для детектирования ранее неизвестного вредоносного ПО. С другой стороны, мы будем также получать информацию о файлах, на которых по какой-либо причине не сработали наши технологии, но которые могут быть подозрительными».

«Это приведет к ручному анализу этого файла нашими аналитиками, в итоге мы все равно придём к детекту реального зловреда (хотя злоумышленник будет думать, что его зловред остается недетектируемым)».

Бесплатный доступ к информации о каком-либо файле подразумевает следующие данные:

  • Вердикт: вредоносный или легитимный.
  • Популярность поиска файла.
  • Дата первого и последнего детектирования.
  • Формат.
  • Размер файла.
  • Кем подписан.
  • Чем упакован.
  • Хеши (md5/sha1/sha256).
  • Имя детекта, включая классификацию песочницы.

Бесплатный доступ к информации о домене или URL:

  • Вердикт: вредоносный ли это домен или ссылка.
  • Популярность поиска.
  • Когда был создан домен. Когда его срок его действия истекает.
  • Число IPv4.
  • Число файлов.
  • Число URL.
  • Зарегистрировавшая домен организация.
  • Имя регистратора.
  • Категория.

Портал доступен по ссылке: https://opentip.kaspersky.com/.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru