MK («Мобильный Криминалист») Enterprise — система цифровой криминалистики для проведения аудита информационных активов компаний, предотвращения и расследования инцидентов в информационной безопасности.
- Введение
- Новые функциональные возможности MK Enterprise
- Архитектура MK Enterprise
- Аналитические возможности МК Enterprise
- Системные требования MK Enterprise
- Сценарии использования MK Enterprise
- Выводы
Введение
Эксперты в сфере информационной безопасности ежегодно фиксируют рост числа хакерских атак в России, однако начиная с 2022 года он принял по-настоящему взрывной характер. Итоги расследований ИБ-инцидентов в 2021–2023 годах, опубликованные компанией Positive Technologies, заставляют задуматься и своевременно реализовывать меры защиты информации в компаниях не только на бумаге, но и на практике.
В своих атаках хакеры всё чаще используют технологии киберразведки, что значительно усложняет обнаружение. Если прибавить к увеличившейся интенсивности хакерских атак дефицит квалифицированных ИБ-специалистов в России, то становится очевидным, что в службах ИБ коммерческих компаний и государственных корпораций не последнюю роль должны играть комплексные программные продукты, эффективные инструменты для выявления и анализа действий злоумышленников.
Одним из таких продуктов является система класса «цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR) — МК Enterprise от компании «МКО Системы», российского разработчика программного обеспечения для расследования инцидентов и проведения аудита информационной безопасности организаций.
Программные продукты класса DFIR помогают получить полную, прозрачную и достоверную картину инцидента. Система даёт возможность проводить исследования серверов, рабочих станций, мобильных устройств и различных облачных сервисов, извлекать данные из цифровых источников различного типа, в т. ч. восстанавливать удалённую пользователем или злоумышленником информацию. Также она помогает сотрудникам служб безопасности компаний систематизировать и анализировать извлечённые данные: понять, что произошло, восстановить хронологию событий, найти точки входа злоумышленников, собрать отчёты.
Новые функциональные возможности MK Enterprise
МК Enterprise 3.0 характеризуется следующими особенностями:
- обладает функциональностью автоматического перевода с 10 языков;
- модуль «iOS-Агент» извлекает полную файловую систему и данные Keychain из мобильных телефонов с чипсетами A9–A10 на версиях iOS 15.0–15.7.3 и чипсетом A11 на версиях iOS 15.0–15.7.1, 16.0–16.5, а также из iPad с чипсетами A8–A15, M1, M2 на версиях iPadOS 15.0–15.7.2 (для чипсета A8 — до 15.7.3), 16.1–16.5;
- модуль «Android-Агент» даёт возможность извлечь информацию из браузера Opera;
- «Мобильный Криминалист Скаут» восстанавливает удалённые файлы из разделов дисков с файловой системой NTFS;
- понижение версий APK: поддерживает приложения Opera, «Яндекс Go», Zoom и многие другие;
- увеличено количество приложений и системных артефактов Windows, GNU/Linux и macOS, доступных для извлечения.
На примере новой версии MK Enterprise рассмотрим основные сценарии применения систем цифровой криминалистики, возможности продукта и технические характеристики.
Архитектура MK Enterprise
Программный комплекс MK Enterprise состоит из следующих модулей:
- «МК Скаут»;
- «Центр Управления Агентами»;
- «МК Облачные сервисы»;
- «МК Извлечение устройств».
«МК Скаут» отвечает за локальный и дистанционный централизованный сбор данных с рабочих станций и серверов под управлением ОС Windows, macOS, GNU/Linux, а также образов оперативной памяти в форматах RAW или DMP.
Модуль «МК Скаут» предоставляет возможность использовать предустановленные профили поиска с заданными комбинациями, редактировать их или загружать собственные. Для этого на основном экране следует воспользоваться кнопками «Создать профиль» или «Загрузить профиль».
Для редактирования настроек любого из предустановленных профилей необходимо нажать на троеточие и выбрать в выпадающем меню пункт «Редактировать». Для каждого профиля открывается отдельное окно редактирования, что делает процесс настройки более удобным и быстрым. Несколько окон, открытых параллельно, дадут возможность легко настроить несколько профилей, если есть необходимость скопировать те или иные настройки, что поможет сэкономить время.
Внесённые правки будут применены после нажатия на кнопку «Сохранить». Предустановленный профиль не может быть изменён, но при сохранении изменений будет создан новый. Возможно добавить неограниченное количество собственных профилей; они будут автоматически сохранены с расширением «.scout.yaml» и при каждом запуске программы отобразятся в списке профилей поиска.
При выборе какого-либо профиля становится активной кнопка «Начать поиск». Также при проведении анализа запущенной системы пользователь может отдельно выбрать на левой рабочей панели диски и разделы для исследования.
Извлечённые данные распределены по группам для удобства их анализа специалистами по ИБ. В модуле доступны следующие возможности:
- поиск информации по настраиваемым правилам YARA;
- исследование подключённых внешних дисков, физических образов E01/Ex01, RAW (DD/BIN/IMG), DMG, ISO, логических образов L01/Lx01, AD1, архивов ZIP, 7Z, RAR, TAR, в том числе защищённых при помощи технологии BitLocker;
- исследование образов виртуальных машин VMX, VBOX, а также образов жёстких дисков виртуальных машин VDI, VHD, VMDK;
- сбор подробной информации о событиях на исследуемой рабочей станции благодаря детальному анализу артефактов систем на Windows, macOS и GNU/Linux.
«Центр Управления Агентами» — модуль для удалённого автоматизированного сбора данных с рабочих станций и серверов, предназначенный для расследования инцидентов и проведения аудита информационной безопасности компании. Благодаря ему специалисты могут максимально точно и быстро восстановить ход событий, эффективно предотвращая возникновение нежелательных последствий, таких как утечка данных или несанкционированный доступ к конфиденциальной информации.
При помощи модуля возможно:
- создавать записи о рабочих станциях и объединять их в группы;
- развёртывать агенты на рабочих станциях для выполнения задач;
- передавать агентам задачи для извлечения данных с различными конфигурациями;
- контролировать состояние выполняемых задач;
- создавать расписание для автоматического запуска задач на рабочих станциях;
- подключать новых пользователей для доступа к работе и назначать для них роли с настраиваемыми правами;
- хранить на сервере, скачивать на локальное устройство и импортировать результаты выполнения задач в МК Enterprise для дальнейшего исследования.
Агенты устанавливаются на целевые серверы и рабочие станции под управлением ОС Windows, Linux, macOS удалённо или с USB-носителя. Предусмотрено два типа агентов: с лицензией на один год и одноразовый (отрабатывает конкретную задачу на целевой рабочей станции или сервере и после отправки отчёта в центр управления удаляется).
«МК Облачные сервисы» — модуль для извлечения информации из файловых служб (Amazon S3, Mega, Microsoft SharePoint, iCloud Backup и др.), мессенджеров (Telegram, WhatsApp, Zoom, Chatwork, Flock, Line, Slack и др.), социальных сетей («ВКонтакте», Facebook, Instagram, LinkedIn и др.), почтовых агентов (Gmail, Mail.ru, Yandex.Mail, Microsoft Outlook и др.). Есть возможность пройти полный цикл авторизации в учётной записи вкупе с поддержкой различных методов прохождения двухфакторной аутентификации.
«МК Извлечение устройств» — модуль для извлечения данных из разнообразных мобильных устройств и их составляющих: телефонов и планшетов на базе операционных систем iOS, Android и KaiOS, карт памяти и сим-карт. Он объединяет в себе четыре раздела: «Устройства», «Методы», «Инструменты» и «Настройки».
Первая категория содержит список всех поддерживаемых устройств с указанием методов, которые можно применить. Доступны для извлечения и расшифровки данных физические образы или полные файловые системы мобильных устройств от Apple, Samsung, Huawei, Xiaomi, Realme, Oppo, Sony, LG и др. Этот перечень постоянно пополняется.
Раздел «Методы» включает в себя все возможные методы извлечения. Доступны возможность обхода и подбора паролей на блокировку экрана исследуемого устройства и получение информации из установленных приложений: Brave Private Browser, Express VPN, Gmail, Google Meet, ProtonMail, Signal, Skype, Spark, TeamViewer, TenChat, WhatsApp, Zoom и др.
Вкладка «Инструменты» даёт возможность перейти к предыдущей версии «МК Извлечение устройств».
Раздел «Настройки» позволяет установить любые из пяти хешей, необходимых для считывания извлечённых данных.
Аналитические возможности МК Enterprise
Для обнаружения и расследования инцидента важно не только оперативно собрать всю доступную информацию, но и быстро проанализировать её. Для этого в МК Enterprise встроен обширный набор аналитических инструментов. Они позволяют выявлять прямые или косвенные связи между контактами одного или нескольких извлечений, осуществлять поиск данных по различным заданным параметрам (например, номерам телефонов, ключевым словам, метаданным, содержимому файлов и др.). При необходимости можно выстроить хронологическую цепочку инцидента. Также специалисту по ИБ доступны технология оптического распознавания текста на изображениях (OCR) и функция отображения геоданных на карте.
Для анализа взаимодействий и контактов используется граф связей. Он демонстрирует прямые и косвенные связи между владельцем исследуемого устройства и его контактами, а также между владельцами и контактами нескольких устройств (при анализе дела).
Также в системе есть лента событий, которая отображает все события на устройстве в хронологическом порядке. В инструменте присутствуют следующие вкладки: сообщения, звонки, геоданные, веб-активность и файлы. Просмотр хронологии событий возможен как по всем данным, так и только по одной категории. Для этого необходимо щёлкнуть по соответствующей вкладке.
Доступны такие функции, как фильтрация событий по учётным записям, источникам, группам и контактам, сортировка по времени, типу, описанию, тегам, отметкам «Важное» и другим параметрам, просмотр дубликатов событий.
Лента событий включает в себя два дополнительных инструмента. Первый из них — матрица активности, позволяющая выявить периоды наиболее активного использования устройства по часам и дням недели. Каждый час отображается в матрице прямоугольной ячейкой с указанием количества событий. Элементы матрицы возможно отфильтровать по времени, дню недели или уровню активности.
Полезные функции матрицы:
- настройка диапазонов уровней активности вручную;
- просмотр событий за целый день, за несколько часов или за конкретный час, а также за произвольный интервал времени;
- быстрый сброс всех применённых фильтров.
Второй инструмент — диаграмма активности, отображающая распределение типов событий (звонки, сообщения, другое) устройства по временным интервалам.
Интересные возможности диаграммы активности:
- группировка всех событий по интервалам времени (год, месяц, час, минута, секунда);
- отображение событий одного типа за определённое время;
- быстрый просмотр трёх последних событий одного типа за определённое время;
- группировка событий в ленте по звонкам / сообщениям / другим событиям или по точечным типам событий (уведомление, подключение к Wi-Fi, запись голосового сообщения и другие).
Вся статистическая информация по извлечению отображается в разделе «Статистика». В нём представлены следующие блоки: «Диаграмма активности», «Матрица активности», «Топ-10 приложений / контактов / групп» (с наибольшим числом коммуникаций в количественном и процентном соотношении), «Важное», «Теги», «Заметки», «Последние коммуникации», «Типы данных» и «Наборы хешей» (показывает хеши известных файлов iOS и Android — как правило, системных).
МК Enterprise при импорте данных или по его завершении позволяет находить и распознавать текст на изображениях в извлечении. Результаты работы этого инструмента позже могут быть использованы, например, при поиске по ключевым словам. Чтобы запустить распознавание текста на изображениях в извлечении, необходимо перейти в раздел с аналогичным названием на рабочей панели устройства, щёлкнуть по стрелке рядом с кнопкой «Распознавание текста» и в выпадающем контекстном меню выбрать пункт «Распознать текст на всех необработанных изображениях» или «Распознать текст на отмеченных изображениях».
Чтобы настроить параметры (указать язык текста и минимальный размер анализируемого изображения), требуется в контекстном меню, упомянутом выше, выбрать пункт «Настройки распознавания текста». Также это можно сделать в меню настроек программы, на вкладке «Расширенная аналитика».
После окончания работы с данными специалисту по ИБ предоставляется возможность сохранить отчёт в следующих форматах: PDF, RTF, табличный и форматированный вид XLS, табличный вид XLSX, табличный и форматированный вид HTML, XML.
MK Enterprise позволяет создавать отчёты по извлечению или по отдельным секциям и источникам данных.
Все созданные отчёты с их кратким описанием попадают в одноимённый раздел. Если отчёт был случайно удалён, программа выделит его серым цветом и поможет воссоздать по первоначально заданным параметрам. Если же в каком-либо отчёте произошли изменения, строка с ним будет выделена красным цветом.
Информация об отчёте включает в себя его тип, имя, путь к файлу, время создания, включённые разделы и хеш.
Дополнительные возможности раздела «Отчёты»:
- сортировка по каждому параметру;
- фильтрация по дате и по разделам;
- просмотр снимков, сделанных в разделах «Граф связей», «Статистика», «Карты» или добавленных с ПК (необходимо перейти на вкладку «Снимки»).
Для перехода к созданию отчёта нужно щёлкнуть по кнопке «Экспорт» на верхней панели программы в любом разделе извлечения или по иконке «Экспорт данных» на главной рабочей панели, которая находится под изображением символа устройства. В мастере экспорта можно разбить отчёт на части в зависимости от размера или количества записей, настроить параметры и внешний вид элементов, задать пароль на открытие отчётов и пр.
Стоит отметить, что МК Enterprise позволяет создавать шаблоны отчётов и использовать их при дальнейшей работе с другими извлечениями.
Системные требования MK Enterprise
Таблица 1. Рекомендуемые системные требования
Сценарии использования MK Enterprise
MK Enterprise предоставляет специалисту по ИБ вполне широкие возможности для расследования инцидентов.
В MK Enterprise предусмотрено два варианта аудита целевых устройств с помощью агентов.
Первый вариант — локальный аудит целевых устройств с использованием съёмных носителей информации. Используется одноразовый агент. Параметры поиска информации задаются специалистом по ИБ вручную перед формированием исполняемого файла агента, который записывается на USB-носитель и запускается с него непосредственно на целевом ПК или сервере. Извлечённые данные специалист импортирует в «Центр Управления Агентами» для их дальнейшего анализа.
Второй вариант — дистанционный аудит целевых устройств с помощью агента. Используется агент с лицензией на один год. Установка его выполняется удалённо с рабочего места специалиста по ИБ.
В режиме реального времени отслеживается состояние всех задач, запущенных на рабочих станциях, и извлекаются данные по ним, а также настраиваются периодичность и время их запуска.
Рассмотрим более подробно расследование инцидента в ИБ с обнаружением вредоносного кода на рабочем месте сотрудника.
Вредоносный код используется для проникновения в сетевой периметр компании, затем закрепляется в нём и передаётся дальше.
Для проведения аудита на рабочем месте сотрудника специалист по ИБ создаёт профиль в «Центре Управления Агентами».
Для более детального анализа был собран журнал событий Windows.
Для сортировки и просмотра событий по порядку их следования переходим в ленту событий.
Выяснилось, что с одного и того же IP-адреса почти в одно и то же время злоумышленник провёл четыре авторизации по разным учётным записям. Специалист по ИБ провёл полный аудит по этому подозрительному IP-адресу.
Далее специалист по ИБ создаёт YARA-правила для обнаружения вредоносного кода в системе.
В результате в сети были найдены две рабочие станции с вредоносным кодом.
В ходе проведения аудита на рабочем месте сотрудника специалисты по ИБ выявили вредоносный код, инициировали расследование инцидента. В ходе расследования были выявлены точка входа, затронутые злоумышленником элементы сети и активность на них. Инцидент удалось предотвратить, избежав ущерба.
При анализе подозрительной активности пользователей MK Enterprise помогает специалистам службы ИБ расследовать различные факты мошенничества, обнаруживать «серые» схемы продаж.
Рассмотрим более подробно расследование инцидента в ИБ с обнаружением такой схемы на рабочем месте сотрудника.
Допустим, компания занимается продажей ПО, лицензии выдаются на год. Стандартная процедура — предоставление демоверсии на месяц перед продажей новой лицензии новому клиенту. Также у компании есть партнёрская сеть, через которую привлекаются новые клиенты. До определённого момента всё было хорошо.
В определённый момент работник компании обнаружил в одном из телеграм-каналов дистрибутивы программного обеспечения. Сотрудник СБ скачал их с целью анализа и установления канала утечки. В программном обеспечении стояла дополнительная защита, помимо ключ-файла был реализован механизм активации лицензии посредством регистрации по электронной почте. Активировав лицензию с помощью рабочей почты, сотрудник СБ вошёл в профиль пользователя и получил доступ к информации о лицензии. Это была рабочая версия на 1 год для сотрудников компании. Дата создания лицензии — 25 октября.
Так как все операции с демоверсиями и лицензированием / активацией ПО проходят через службу поддержки, в первую очередь ставится задача проверить наличие признаков фрода со стороны этой службы.
В ходе такого расследования требуется дополнительная информация, которую можно запросить лишь точно сказав, что именно необходимо. По регламенту все выписанные лицензии проходят через начальника службы поддержки. Особое внимание требуется уделить активности пользователей.
Открываем ленту событий в MK Enterprise и выставляем критерии поиска по дате (25 октября).
Выбираем пункт «Активность пользователя» и находим там данные об открытии мессенджера Telegram, PDF-редактора и специальной программы для удаления файлов.
Становится ясно: человеку есть что скрывать. Выходим в главное меню и выбираем пункт «Активность пользователя».
Сразу получаем странный PDF-файл без даты, а также артефакты скачивания программы WipeFile. Кроме того, наблюдаем артефакты открытия флеш-накопителя.
Заходим в секцию «Файлы», пункт «Документы»; в верхнем меню выбираем «Расширенные фильтры» и выставляем дату этих артефактов (1–2 ноября, при желании можно поставить время). В поле «Фильтры» пишем «.pdf». Находим другой подобный файл и видим, что он лежал в кеше Telegram.
Производим анализ переписки пользователя в Telegram с помощью модуля «МК Облачные сервисы» и там обнаруживаем общение с контактом «Женя Сосед».
При анализе переписки выясняется, что начальник в сговоре с партнёром продавал лицензии по «серой» схеме, используя условные кодовые слова для имитации безобидного общения на посторонние темы.
Выводы
МК Enterprise 3.0 помогает специалистам службы ИБ расследовать различные факты мошенничества, утечки конфиденциальных данных, нарушения внутренней политики безопасности, расследовать инциденты связанные с вредоносным кодом, выявлять источники появления на ПК и гаджетах сотрудников запрещённых приложений и т. д.
С помощью МК Enterprise можно (и необходимо) проводить профилактические работы, направленные на предотвращение инцидентов в сфере ИБ. Для этого можно воспользоваться инструментами периодического аудита файловой системы рабочих станций и серверов предприятия, а также корпоративных мобильных устройств и переносных накопителей данных, если они используются в компании.
Достоинства:
- консолидация и представление необходимых для расследования сведений в единой консоли;
- проведение исследования цифровых источников данных одним инструментом;
- удобная система отчётности;
- интуитивно понятный интерфейс;
- полная цифровизация процесса расследования;
- наличие в реестре российского ПО.
Недостатки:
- возможность установки основного модуля MK Enterprise только на ОС Windows;
- отсутствие клиент-серверной архитектуры;
- высокие системные требования к рабочей станции / ноутбуку специалиста по информационной безопасности.
Источник: https://www.anti-malware.ru/reviews/MK-Enterprise-3-0