Новые ИБ-решения недели: 14 января 2021 года
В качестве подарка на новогодние и рождественские праздники российский разработчик и поставщик средств для экспертного исследования данных мобильных устройств, облачных сервисов и персональных компьютеров «Оксиджен Софтвер» выпустил новые версии своих продуктов «Мобильный Криминалист Эксперт» и «Мобильный Криминалист Десктоп».
В дополнение к ранее поддерживаемым моделям устройств и версиям iOS версия «Мобильный Криминалист Эксперт 2.2» теперь позволяет извлекать полную файловую структуры и Keychain с помощью эксплоита Checkm8 из iPhone 5S на iOS 12.2 - 12.5, iPhone 6 и 6 Plus на iOS версий 12.2 - 12.3.х и 12.4.9 - 12.5; iPhone 6S, 6S Plus, SE, iPad пятого поколения и iPad mini 4 на iOS версий 12.1.4 - 12.3.x и 14.3; iPhone 7, 7 Plus, 8, 8 Plus, X и iPad Pro первого и второго поколения, iPad шестого поколения, iPad седьмого поколения, iPod Touch 7 на iOS версий 14.x, в том числе 14.3.
В версии «Мобильный Криминалист Эксперт 2.2» в метод «Логическая файловая система Android» встроено предварительное получение прав суперпользователя. Теперь для извлечения из устройства расшифрованного пользовательского раздела нет необходимости заранее получать права суперпользователя посредством дополнительных инструментов.
«Мобильный Криминалист Эксперт» версии 2.2 поддерживает более 39 690 моделей мобильных устройств, более 19 600 версий приложений, 593 уникальных приложения, 102 источника данных из ПК и 89 облачных сервисов.
Стоит также отметить нововведения в работе модуля «Мобильный криминалист Скаут» с персональными компьютерами. Так, теперь открыт доступ ко всем файлам в директориях «Загрузки», «Документы» и «Рабочий стол». Для того чтобы объем экспортируемых данных не был слишком большим, его можно ограничить, задав определенный период времени, за который необходимо получить информацию, или путь, по которому может храниться искомый документ. Кроме того, «Скаут» анализирует данные новых программ на рабочих станциях: Tor Browser на всех трех операционных системах, Zalo на Windows и macOS, Pidgin и Gajim на Windows и Linux и Adium на macOS.
Новая версия «Мобильный криминалист Десктоп» значительно расширила количество поддерживаемых источников данных для сбора и проведения анализа «Скаутом». Список приложений для персональных компьютеров в версии 2.1 пополнился восемью новыми пунктами. Для ПК на ОС Windows и macOS стали доступны для изучения Evernote и OneNote, хранящие в себе данные о заметках, учетной записи пользователя и многое другое, а также мессенджеры Slack и Zalo, из которых можно получить информацию о сообщениях, контактах, вложениях и т. д. Исследование данных из еще двух клиентов для обмена мгновенными сообщениями было добавлено для компьютеров на системах Windows и Linux — это Gajim и Pidgin. В свою очередь, для рабочих станций от Apple осуществлена поддержка мессенджера Adium. Более того, для ПК на всех трех платформах открыт доступ к таким сведениям, как история посещений, закладки, логины и пароли из Tor Browser.
Компания Microsoft выпустила новую версию своей утилиты System Monitor (Sysmon) для мониторинга систем на предмет вредоносной активности и записи ее в журнал событий Windows. Версия Sysmon 13 получила новую функцию безопасности, которая выявляет вмешательства в процессы Windows с использованием методов process hollowing и process herpaderping. Многие вредоносные программы используют эти техники для обхода обнаружения решениями безопасности. К таковым в частности относятся вымогательское ПО Mailto/defray777, TrickBot и BazarBackdoor.
Пионер в области поиска и обнаружения угроз, компания Cyborg Security, выпустила несколько бесплатных мер защиты, призванных помочь организациям, которые могли пострадать от атаки SUNBURST. Эти меры включают бесплатный доступ к платформе HUNTER для потенциально затронутых организаций, а также бесплатные пакеты обнаружения угроз, позволяющие организациям иметь возможность постоянного обнаружения.
Доступ к платформе HUNTER позволит организациям развертывать контент для обнаружения бэкдора SUNBURST, адаптированный к их уникальной среде, а также широкий спектр других расширенных поведенческих материалов для поиска угроз, способных обнаруживать действия злоумышленников, а не только их инструменты.
Разработчик под псевдонимом woj-ciech выпустил новую версию своего инструмента ꓘamerka для сканирования IoT-устройств и АСУ ТП с помощью NMAP-скриптов. Последняя версия ꓘamerka дает возможность сканировать устройства с помощью лишь одного щелчка мыши благодаря NMAP. Кроме того, ꓘamerka отображает информацию об устройстве и список паролей по умолчанию. Информация берется в основном с web-сайтов производителей, а учетные данные по умолчанию – из базы данных Critifence.
Немецкий производитель интегрированных решений для идентификации Veridos возглавил проект Евросоюза под названием D4FLY, сосредоточенный на создании инновационных технологий для пограничного контроля. Проект расширит существующие возможности пограничников по противодействию возникающим угрозам при проверке документов и идентификации личности (в том числе по выявлению поддельных документов, самозванцев, изменения лиц и пр.) на ручных и высокоавтоматизированных пунктах пограничного контроля и в процессе выдачи подлинных документов. Сочетание набора инструментов и систем D4FLY повысит качество проверки и сократит основные затраты времени на процессы, тем самым предоставив путешественникам возможность реального пересечения границы во время движения.