Novinky, Produkty

Belkasoft X v.2.0

Posted on by Jiří Štokr

Nejnovější aktualizace, Belkasoft X v.2.0, je významnou verzí, která umožňuje zpracovávat i rozsáhlé případy a stovky zdrojů dat s nebývalou rychlostí.

Mezi hlavní novinky verze 2.0 patří:

  • Vysokovýkonný databázový engine
  • Významné vylepšení v mobilní forenzní analýze: akvizice SIM karty u Androidu a další
  • Rozšířená podpora pro drony
  • Rozsáhlé vylepšení hash setů
  • Vylepšení automatizace
  • Deduplikace záznamů v NTFS Volume Shadow Copy
  • Vylepšení v cloudové forenzní analýze
  • Různá vylepšení ve spolupráci s třetími stranami, včetně Volatility, Clam AV a VirusTotal
  • Významné aktualizace pravidel Sigma a YARA

Podrobnosti o nových funkcích

Belkasoft představuje Powerhouse: Podnikovou databázi Postgre v Belkasoft X v.2.0

Jedná se o hlavní novinku této verze produktu – zavádění vysoce škálovatelné a efektivní databáze Postgre pro práci s daty případů.

Díky podpoře databáze Postgre nabízí Belkasoft X verze 2.0 úložiště a správu dat případů na úrovni podniku. Přechod na nový typ databáze umožňuje plynulou manipulaci s rozsáhlými případy a rozsáhlými zdroji dat, což zajišťuje robustnost a škálovatelnost pro uživatele.

Kromě toho Belkasoft X verze 2.0 prošel různými optimalizacemi, které zjednodušují forenzní pracovní postupy. Byly vyladěny procesy carving, což vedlo k významnému zvýšení rychlosti. Kromě toho byl vylepšen chybový záznam, který vylučuje irelevantní položky, snižuje zmatek a zlepšuje efektivitu. Byly také optimalizovány postprocessingové úlohy, což umožňuje rychlejší analýzu a zpracování dat.

Mobilní forenzní analýza

Android:

  • Přidána akvizice SIM karty (včetně eSIM; musí být první slot u zařízení s více sloty)
  • Vylepšena robustnost při downgradu APK. Záložní kopie souborů .apk jsou nyní uloženy do složky případu místo zařízení, čímž se eliminují situace, kdy Android falešně hlásí úspěšné obnovení APK a trvale je mazá z dočasné složky zařízení
  • Aktualizace dešifrování záloh HiSuite Huawei s výchozím heslem
  • Pokud selže akvizice, zobrazuje se odkaz na řešení problémů s downgradem APK
  • Opraveno: metody zálohování ADB a downgradu APK na Samsung Galaxy S9+
  • Opraveno: zachycování obrazovky pro zprávy Signal na Huawei Nova

iOS:

  • Metoda zachycování obrazovky je aktualizována až do verze iOS 16.5
  • Možnost „Vytvořit šifrovanou zálohu“ je opravena pro metodu zálohování pomocí iTunes. Pokud byla předchozí záloha vytvořena jako šifrovaná, nyní se zobrazí odpovídající zpráva
  • Pokud selže akvizice, zobrazuje se odkaz na řešení problémů s Checkm8
  • Vylepšeno extrahování hesel z keychainu
  • Vylepšeno dešifrování zpráv Signal

Forenzní analýza dronů

  • Podpora analýzy nových modelů dronů:
    • Ryze Tello
    • Sense Fly
    • Sky Viper
    • Yuneec H520
  • Trasy letu dronů na vestavěných mapách: V okně vestavěných map se nyní zobrazují trasy letů dronů (a další aplikace s geodaty).

Vylepšení analýzy hashsetů

  • Náhled v galerii je nyní k dispozici v uzlu hashsetů v okně Přehled. Na základě zpětné vazby od našich zákazníků, kteří pracují s hashsety, se často očekává přítomnost médií. Je pro ně důležité mít náhled těchto souborů.
  • Opakovaná analýza hashsetů s jinou databází: Analýza hashsetů nyní může být spuštěna pro předtím analyzovaný zdroj dat. Dříve byla k dispozici pouze při přidání nového datového zdroje.
  • Vylepšené filtrace hashsetů: Přidán sloupec a filtr pro popisky hashsetů do souborového systému.
  • Vylepšena import NSRL RDSv3.

Integrace s třetími stranami

  • Nové moduly pro Volatility: Byly přidány moduly ‚dlllist‘, ‚filescan‘, ‚modules‘ a ‚malfind‘:
  • dlllist: získává informace o načtených knihovnách (DLL)
  • filescan: identifikuje otevřené nebo smazané soubory
  • modules: získává seznam načtených jádrových modulů
  • malfind: identifikuje a extrahuje jakýkoli vložený nebo zákeřný kód
  • Přidána integrace s Cisco Clam AV. Na rozdíl od dříve podporované analýzy VirusTotal může Clam AV pracovat bez připojení k internetu.
  • Vylepšení pro VirusTotal: Nyní jsou odesílány hash hodnoty souborů na VirusTotal místo samotného obsahu souborů.

Podpora pro Sigma a YARA

Sigma:

  • Podporuje se podmínka ‚1 of selection*‘
  • Do příslušného artefaktu bylo přidáno několik desítek hodnot z protokolu událostí jako nové sloupce. Dříve byly všechny tyto hodnoty spojeny do pole Popis, což bylo méně pohodlné při práci se Sigma pravidly
  • Syntaxe pravidla je ověřována při přidání pravidla

YARA:

  • YARA analýza může být nyní spuštěna pro předchozí analyzované zdroje dat. Dříve byla k dispozici pouze při přidávání nového zdroje dat
  • Přidány sloupce ‚Čas shody‘ a ‚Cesta k YARA souboru‘
  • Do uzlu YARA výsledků v okně Přehled jsou přidány filtry
  • Opraveno: Pro shody nalezené v procesech v paměti je pole ‚Adresa‘ prázdné

Deduplikace NTFS Volume Shadow Copy

Tato nezbytná funkce přináší novou úroveň hloubky vašim analýzám VSC a také vám ušetří spoustu času při analýze snímků. Namísto toho, abyste viděli celý obsah souborového systému pro konkrétní snímek, nyní můžete vybrat pouze změny související s daným snímkem, včetně přidaných, upravených nebo přesunutých souborů.

Nová funkce vám také umožňuje významně snížit čas potřebný k analýze snímků, protože nyní obsahují pouze omezené množství souborů, které prošly změnami. Tato optimalizace vede k efektivnějšímu procesu exportu pro eDiscovery a jiné formáty, což výrazně snižuje potřebný úložný prostor a zlepšuje celkový výkon.

Forenzní analýza Cloudu

  • Aktualizace Google Drive:
    • Soubory se stejným názvem jsou nyní správně staženy
    • Vylepšena funkce pro stahování nativních dokumentů Google
  • Aktualizace Instagramu:
    • Podpora 2FA pomocí SMS
    • Opraveno několik problémů
  • Aktualizace Microsoft 365, zejména podpora prezentací a poznámek
  • Opraveno stahování z iCloud ve zkušební verzi

Vylepšení automatizace

  • Podpora možnosti přidání datového zdroje do stávajícího případu pomocí příkazového řádku
  • Podpora možnosti analýzy live disku
  • Konfigurátor CLI byl přesunut do složky s instalací produktu pro pohodlnost uživatelů
  • Byly provedeny vizuální vylepšení v okně konfigurátoru
  • Opraveno: Volby pro hashování jsou brány z profilu namísto možností poskytnutých prostřednictvím konfigurátoru
  • Opraveno: Pokud není dostupný formát zprávy, úloha se omylem zobrazuje jako úspěšně dokončená

Uživatelské rozhraní

  • Evidence Reader nyní obsahuje možnost rozmazání obrázků, což bylo dříve dostupné pouze v Belkasoft X
  • Nahrazení hodnoty ‚0‘ prázdnou hodnotou, aby se předešlo záměně s protokoly událostí systému macOS
  • Přepracování pokročilého časového filtru
  • Opraveno: Produkt se zasekává, když je použita možnost filtru ‚Vybrat rozsah týdne‘ v souborovém systému
  • Opraveno: Po změně názvu případu se neaktualizuje náhled v systému Windows pro Belkasoft X
  • Prohlížeč SQLite: Přidány počty pro záložky pro Carved a Raw data v nealokovaném prostoru
  • Prohlížeč SQLite: Opravena konverze Apple Cocoa času
  • Prohlížeč SQLite: Opraveny názvy sloupců v kontextovém menu
  • PDF sestava: Hlavička a zápatí jsou nyní správně zarovnány

Nové a aktualizované artefakty

iOS

  • Analyzována možnost přenosu obrázků v aplikaci Hangouts iOS (Google Chat) (aktualizace)
  • Extrakce jména kontaktu z SMS zpráv
  • Aktualizace artefaktu Twitter
  • Aktualizace artefaktu prohlížeče Firefox
  • Aktualizace artefaktu aplikace Yubo

Android

  • Nově analyzovány koncepty SMS/MMS zpráv (drafts)
  • Dešifrování aplikace Secret calculator (Sgallery)
  • Aktualizace artefaktu aplikace Pinterest (extrakce kontaktních informací, zpráv a uložených obrázků)
  • Analýza dotazů „OK Google“ (nové)

Více informací o verzi 2.0 najdete zde.

WordPress Appliance - Powered by TurnKey Linux