Мобильный Криминалист Детектив 11.6 может извлечь данные с сервера Viber

Мобильный Криминалист Детектив 11.6 может извлечь данные с сервера Viber

Мобильный Криминалист Детектив 11.6 может извлечь данные с сервера Viber

«Оксиджен Софтвер», ведущий российский разработчик и поставщик передовых средств для экспертного исследования данных мобильных устройств, облачных сервисов, дронов и ПК, анонсирует новую версию своего флагманского продукта «Мобильный Криминалист Детектив» 11.6. В ней реализована возможность расшифровки извлеченного физического образа с известным паролем для устройств на чипсетах Qualcomm MSM8916, MSM8939, MSM8952. Также добавлен импорт логического извлечения Android-устройств, полученного при помощи MSAB XRY. Наконец, добавлены новые облачные сервисы Viber Cloud и LinkedIn.

В версии 11.2 мы уже добавляли поддержку расшифровки физического образа с известным паролем для устройств на чипсетах Qualcomm MSM8909. В новой версии мы расширили список поддерживаемых чипсетов, теперь данный функционал распространяется на устройства с чипсетами Qualcomm MSM8916, MSM8939, MSM8952. Расшифрованный физический образ содержит в себе максимально полный набор данных, включая удаленные файлы.

Кроме того, наша команда реализовала возможность импорта логического извлечения Android-устройств, полученного с помощью программного обеспечения MSAB XRY.

В версии 11.6 добавлена поддержка уникального инструмента Viber Cloud, который позволяет авторизоваться на сервере мессенджера по QR-коду или токену без прохождения двухфакторной аутентификации и извлечь последние сообщения, все контакты, а также информацию о владельце учетной записи. Более того, появилась поддержка облачного сервиса деловой социальной сети LinkedIn. Из сервиса извлекаются сообщения, входящие и исходящие предложения, публикации, информация об образовании и опыте работы, карьере, навыках, наградах и другие данные.

Еще обновления «Мобильного Криминалиста Детектива» версии 11.6:

  • Мастер Извлечения из Облачных Сервисов. Обновлен механизм получения данных о тренировках в сервисе Samsung Health.
  • Мобильный Криминалист Скаут. Добавлено извлечение и парсинг токена из приложения Viber for Desktop.
  • Мобильный Криминалист Скаут. Добавлен поиск паролей для облачного сервиса LinkedIn.
  • Просмотрщик SQLite. Добавлена настройка видимости и закрепления столбцов, а также поддержка таблиц без ROWID.
  • Приложения. Мессенджеры. Добавлена поддержка Discord (3.1.1) для Apple iOS устройств.
  • Приложения. Мессенджеры. Добавлена поддержка Discord (9.0.9) для Android устройств.
  • Приложения. Социальные сети. Добавлена поддержка TikTok (13.0.0) для Apple iOS устройств.
  • Приложения. Социальные сети. Добавлена поддержка TikTok (12.7.3) для Android устройств.
  • Приложения. Социальные сети. Добавлена поддержка Likee (3.4.3) для Apple iOS устройств.
  • Приложения. Социальные сети. Добавлена поддержка Likee (3.4.3) для Android устройств.
  • Приложения. Бизнес. Добавлена поддержка JioCloud (3.12) для Apple iOS устройств.
  • Приложения. Бизнес. Добавлена поддержка JioCloud (17.12.9) для Android устройств.
  • Приложения. Навигация. Обновлена поддержка Waze (4.54.1.1) для Android устройств.

«Мобильный Криминалист» 11.6 поддерживает 478 уникальных приложений, 76 облачных сервисов, более 12 000 версий приложений и 31 500 моделей устройств!

Более подробную информацию о новой версии вы можете узнать по ссылке: https://www.oxygensoftware.ru/ru/events/news/749-mkd-v-11-6 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru