МК Десктоп 2.3 открывает доступ к анализу RAM и всем процессам в Windows

Екатерина Быстрова 22 Июня 2021 - 14:04

Системы сетевой криминалистики

...

МК Десктоп 2.3 открывает доступ к анализу RAM и всем процессам в Windows

Компания «Оксиджен Софтвер» представила новую версию программного обеспечения «Мобильный Криминалист Десктоп» — 2.3. Релиз отметился возможностью анализа RAM и получения доступа ко всем исполняемым процессам на Windoiws-компьютере.

«При исследовании рабочих станций, в зависимости от случившегося преступления или инцидента, экспертам предстоит выбор: работать с образами жёстких дисков либо с живой системой ПК», — говорит Ольга Гутман, Генеральный директор «Оксиджен Софтвер».

«Наше ПО “МК Десктоп” позволяет производить поиск как по живой системе, так и по образам дисков, а также логическим образам персональных компьютеров», — отмечает Ольга. — «Помимо уже поддерживаемых форматов E01, AD1 и ZIP, в версии 2.3 мы реализовали функцию поиска сведений по логическим образам рабочих станций на Windows, macOS и GNU/Linux в формате L01 (EnCase Logical Evidence File)».

Отдельно стоит отметить новые функциональные возможности «МК Десктопа», предоставляющие исследователям возможность анализа RAM и получения доступа ко всем исполняемых процессам на компьютере (Windows), а также копирования содержимого оперативной памяти устройства в файл формата RAW.

Увеличилось и количество объектов исследования. Во-первых, стало возможным проведение анализа данных системных журналов из персональных компьютеров с операционной системой macOS и GNU/Linux. Во-вторых, реализовано извлечение сведений о системных и пользовательских настройках и автоматически запускаемых приложениях на рабочих станциях на macOS.

В-третьих, открылся доступ к информации iCloud Drive, Finder и Spotlight — стандартных приложений на компьютере от компании Apple. Наконец, был расширен список получаемых данных из реестра Windows, таких как история установок приложений, сведений о сетевых интерфейсах, последнем авторизованном пользователе, дате последнего выключения компьютера и других.

Подробнее о «Мобильный Криминалист Десктоп».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Ноября 2025 - 12:53

Windows Ботнет Домашние пользователи Корпорации Лаборатория Касперского

Новый Windows-ботнет Tsundere маскируется под установщики популярных игр

Эксперты Kaspersky GReAT сообщили о новом ботнете под названием Tsundere. Злоумышленники заражают устройства на Windows с помощью PowerShell-скриптов или MSI-установщиков, маскируя вредоносный имплант под установщики популярных игр: Valorant, CS2 и Rainbow Six.

По данным «Лаборатории Касперского», атаки уже зафиксированы в Мексике и Чили.

Согласно анализу, авторы ботнета пытаются избегать заражения систем в странах СНГ, однако детекты всё же были обнаружены в России и Казахстане. Специалисты отмечают, что ботнет активно растёт и представляет серьёзную угрозу.

Одной из ключевых особенностей Tsundere стало использование Web3-смарт-контрактов для размещения адресов командных серверов. Такой подход делает инфраструктуру более устойчивой: переключать C2-серверы можно через блокчейн Ethereum.

Анализ панели управления показал, что ботнет распространяет импланты двумя способами:

через MSI-файлы;
через PowerShell-скрипты.

После установки на устройство загружается бот, который способен непрерывно выполнять JavaScript-код. Для связи с командным сервером используется WebSocket.

Кроме того, у Tsundere есть собственная панель управления и торговая площадка — единый интерфейс для операторов ботнета.

Исследователи считают, что разработчики Tsundere с высокой вероятностью русскоязычные: на это указывают фрагменты кода. Также обнаружена связь ботнета со стилером 123 Stealer, который распространяется на форумах дарквеба.

По словам Дмитрия Галова, руководителя Kaspersky GReAT в России, злоумышленники быстро адаптируют инструменты и уже несколько раз меняли архитектуру ботнета:

«Переход на Web3 сделал инфраструктуру более гибкой, а импланты продолжают распространяться под видом установщиков игр. Вероятно, что Tsundere продолжит расширяться».

Индикаторы компрометации:

Хеш-суммы файлов:

235A93C7A4B79135E4D3C220F9313421
 760B026EDFE2546798CDC136D0A33834
 7E70530BE2BFFCFADEC74DE6DC282357
 5CC5381A1B4AC275D221ECC57B85F7C3
 AD885646DAEE05159902F32499713008
 A7ED440BB7114FAD21ABFA2D4E3790A0
 7CF2FD60B6368FBAC5517787AB798EA2
 E64527A9FF2CAF0C2D90E2238262B59A
 31231FD3F3A88A27B37EC9A23E92EBBC
 FFBDE4340FC156089F968A3BD5AA7A57
 E7AF0705BA1EE2B6FBF5E619C3B2747E
 BFD7642671A5788722D74D62D8647DF9
 8D504BA5A434F392CC05EBE0ED42B586
 87CE512032A5D1422399566ECE5E24CF
 B06845C9586DCC27EDBE387EAAE8853F
 DB06453806DACAFDC7135F3B0DEA4A8F

Путь к файлам:

%APPDATA%\Local\NodeJS

Домены и IP-адреса:

ws://185.28.119[.]179:1234
 ws://196.251.72[.]192:1234
 ws://103.246.145[.]201:1234
 ws://193.24.123[.]68:3011
 ws://62.60.226[.]179:3001

Криптовалютные кошельки:

0x73625B6cdFECC81A4899D221C732E1f73e504a32
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC

Примечание. Эти кошельки изменяли адрес командного сервера в смарт-контракте.