Magnet AXIOMへのGrayKeyイメージファイルの読み込み

ここ数年前から、iOSデバイスのフォレンジック検査のほとんどは、iTunesのバックアップでしかデータを取得できず、ユーザーのパスコードを持っていない場合に限られていました。確かに、あなたは奇妙なジェイルブレイクされたデバイスを入手されたかもしれませんが、1万ドルの市販のフォレンジックツールを持っていても、Magnet ACQUIREのような無料の取得ツールを持っていても、いずれでも普通は関係なく、iTunesのバックアップやファイルの論理コレクションという同じものが入手できるだけでした。ユーザーのパスコードを持っていなければ、何も得られなかったので、何もないよりはバックアップがある方がマシでした。 警察がユーザーのパスコードをクラックできるようにするツール、GrayKeyのメーカーであるGrayshiftのサイトにアクセスし、データ保護の遅延をバイパスしてiOSデバイスのファイルシステム全体へのアクセスを得ることができます。これにより、これまでパスコードを持っていないためにアクセスできなかったデバイスへ検査官がアクセスできるようになっただけでなく、論理的なコレクションを介して利用できるデータが限られていたために、何年も利用できなかったiOSデータへのアクセスも可能になりました。場合によっては、GrayKeyは、今まで調査する機会のなかったデータも明らかにしました! 多くの人が知っているように、GrayKeyは取得ツールに過ぎません。これは検査官がiOSデバイスに入る権限を取得でき、見つかった情報の抽出を行うが、任意の分析を支援するものではないことを意味します。GrayKey抽出で取得したデータは、様々なZIPコンテナ(BFU、AFU、Full Files、mem、keychain.plist)に出力されます。Magnet AXIOMは、これらのファイルの分析に使用することができます。 調査官にとって、iOSデバイスを調べるときに必要とする理想的なGrayKeyイメージファイルは、files.zipです。これは、iOSのファイルシステム全体が存在し、検査官が検査の過程で使用するための最大の情報量を提供します。他の利用可能なイメージファイルの種類は、ケースの作業に優れたフォレンジック面の価値を提供しますが、利用可能な場合は、常に最初に files.zip イメージを検査してください。 お使いのGrayKeyは、passwords.txtとデバイス抽出のHTMLレポートも作成します。passwords.txtのリストは検査官が目を通すのに最適ですが、パーシングのためにpasswords.txtファイルではなくkeychain.plistをAXIOMに読み込ませるようにしてください。 常に念頭に置いておくこと: ユーザーのパスコードを持っている場合でも、抽出にはGrayKeyを利用して、調査で作業に使えるデータをできるだけ多く保持するようにしてください。 次のコンテナはmem.zipです。これはiOSデバイスのプロセスメモリダンプです。Grayshiftの技術以前は、検査官はルーチン分析のためにiOSデバイスのプロセスメモリを取得していませんでした。Androidでのメモリ取得は可能ですが、スマホの再起動が必要なため、調査値は最小限に抑えられています。この場合、iOSのプロセスメモリには貴重な情報が含まれており、AXIOMにも確実に読み込むことが推奨されます。 最終的に、最後のファイルはkeychain.plistです。iOSのキーチェーンには、ユーザーが保存したり使用したりした多数のアプリ用のユーザーアカウント、パスワード、キーが含まれているので、ほとんどの検査官はiOSのキーチェーンを良く理解しています。それらはクラウドソースや別の方法で認証することを希望する検査官にとっても重要なものとなる可能性があります。GrayKeyが作成するキーチェーンは、iTunesのバックアップで取得したり、ジェイルブレイクされたデバイス上でネイティブに発見されたりするものとは若干異なります。ファイルシステムで見つかったキーチェーンは、正確にはSQLiteデータベースであり、それ以前の取得方法では限界があったため、常に利用できるわけではありませんでした。iTunesのバックアップのキーチェーンもplistですが、フォーマットが異なるので、AXIOMではGrayKey keychain.plistへの特定の対応を追加しました。 iOS調査の取得フェーズでは、GrayKeyを利用することで検査官が得るさまざまなエクスポートを特集しましたが、ここでは、Magnet AXIOMを使用してこのデータを分析してみましょう。 GrayKeyのエビデンスをAXIOMへ読み込む 最近取得したiOSデバイスをAXIOMに読み込む方法はいくつかあります。調査のニーズによっては、ワークフロー用の他のものより適した方法があるかもしれません。 始めるには、取得したfiles.zipファイルを読み込むのではなく、次の方法でkeychain.plistを読み込むことをまずは推奨します。 AXIOMを分析に使用することの大きなメリットの1つは、処理を開始する前に複数のエビデンスを同時に追加して、調査官の時間を節約できることです。つまり、keychain.plistを持っているiOSデバイスを扱う場合、AXIOM Examineのケースダッシュボードに移動して「Add Evidence」をクリックする前に、キーチェーンだけを処理して、その唯一のエビデンスのデータを精査することが検査官にとってメリットがあるということです。なぜお尋ねになるのですか?いい質問です!検査官がすでにkeychain.plistを確認している場合は、疑わしいデバイスに見つかる可能性のあるアプリについて優れたアイデアを持つでしょう。できれば、files.zipをAXIOMに読み込んで処理する際に、SnapChat、WickrMe、iOS Notesなどの暗号化されたアプリの潜在的なパスワードとキー値を入力することで、AXIOMは処理中にこれらのデータベースを復号化し、エビデンスを再処理する必要なく、検査官が調査過程で分析できるようにします。以下のように、キーチェーンから AXIOM に情報をコピーする際に検査官が参照できるように、処理中に復号化できるアプリのアーティファクト選択カテゴリー内に情報を追加しました。 次に、GrayKeyの追加エビデンスファイルをAXIOMに読み込む方法を見てみましょう。 GrayKey 画像を AXIOM に読み込むには、他のほとんどの iOS 画像と同じパスで、Mobile -> iOS -> Load Evidence -> Image と進み、最初に files.zip を選択します。次に、同じようにmem.zipを読み込みます。 注意点としては、files.zipで読み込む際には、必ず「イメージファイル」対「ファイル」と「フォルダー」を選択するようにすること。これにより、AXIOMはイメージファイルから最大量の情報をパース/カーブできるようになります。 オンラインGrayKeyを備えた機関の場合、取得したものをAXIOMに読み込むことに関しては、追加のオプションがあります。MagnetとGrayshiftとの独占的なパートナーシップに関連して、検査官がネットワーク接続を介してAXIOMをGrayKeyに直接接続することができるダイレクト接続を用意しています。このダイレクト接続オプションには、分析ソフトウェアでケースを開始する前に、ブラウザ経由でGrayKeyからイメージファイルをダウンロードする旧来型の手順に比べて、いくつかのメリットがあります。ダイレクト接続オプションを使用する最初のメリットは、スピードです。この手順を使用することで、全体的に調査を開始するのに必要なステップを減らすことができ、取得したiOSデバイスの量に関して言えば、この時間の節約は大きなものになります。第二に、検査のために取得され処理されたので、AXIOMはGrayKeyイメージファイルをどこに保存するかについてプロンプトして来ます。このプロセスの一環として、私たちは取得しているファイルも自動的にハッシュ化しますので、あなたのハッシュ値が一致していることをGrayKey GUIから迅速に確認することができます。GrayKeyイメージファイルを分析ツールに読み込んだ際に、対象が「離れている」ように見えたり、画像を読み込めなかったりしたという調査官の声を何度も耳にしています。これは、ブラウザーがダウンロードのサイズを制限したり、イメージファイルのダウンロード中にパケットがドロップしたことが原因の一つです。 ダイレクト接続方式でエビデンスを読み込むには、ユーザーはモバイル→iOS→GrayKeyへの接続、とメニューを移動します。接続されると、検査官はGrayKeyに保存されている利用可能なデータをブラウザーで表示し、AXIOMで取得して処理したい様々なエビデンスファイルを選択することができます。 読み込まれると、所定の調査のためにAXIOMにインクルードするオプションやアーティファクトを選択することができます。それ以外ではアーティファクトにインクルードされない追加データを取得するのに役立つ機能の1つが、Dynamic App Finder(DAF)です。 Find more artifacts(追加のアーティファクトを検索)」の下でDAFを有効にすると、チャット、ジオロケーション、または連絡先情報を含む可能性のあるSQLiteデータベースをイメージファイルから自動的に検索します。これは、既存のアーティファクトの中に既に存在する可能性のないアプリケーションやデータを見つけるのに役立ちます。DAFの簡単なビジネスはこちらで見ることができます。GrayKeyイメージファイルの場合、これはファイルシステムとメモリ・イメージファイル内の追加データを識別します。カスタムのアーティファクトの作成やArtifact Exchangeの詳細については、こちらをご覧ください。 すべてが読み込まれ、オプションが選択されると、他のものと同様にケースを処理し、AXIOM … Continued

Magnet + Grayshift: モバイル調査のために最先端のソリューションを提供し続ける

この1年半の間、弊社としましては、信頼できるパートナーとしてGrayshiftにご協力いただき、心から感謝いたします。同社が GrayKeyを製品(Magnet AXIOM)に直接統合できる唯一の信頼できる企業であることに加え、世界中のお客様にGrayKeyを販売するという素晴らしい機会を得ました。これにより、iOS捜査のために最先端のソリューションをお客様に提供できています。 この間、Magnet User Summit、Magnet Virtual Summit、Virtually Together イベントをはじめ、Techno Security、National ICAC会議、各種ライブウェビナーなど、さまざまなイベント(ライブと明らかに今ではバーチャルの両方)で共同プレゼンテーションを行い、素晴らしい時間を過ごしてきました。お客様や参加者からは、弊社のセッションから多くのことを学び、iOSのエビデンスを取得および分析するための新たな方法を見つけることができたとの声が聞けて、とてもうれしく思っています。 弊社の独占的なパートナーシップを継続して進ませるにつれ、私たちは少し時間を割いて、Magnet AXIOMとGrayKeyを併用して調査から最大限のエビデンスを引き出すことができるようないくつかの方法を反復的に行いたかったのです。私たちは、今後数週間にわたって、いくつかのブログを共有してこれらの領域に焦点を当てたいく予定です。より包括的なハウツー文書については、Trey Amick氏のこのブログをチェックしてください。 最深の分析レベルを実証するパートナーシップ Grayshiftと開発した技術上のパートナーシップにより、Magnet Forensicsの研究、開発、トレーニングの取り組みを、GrayKeyでアクセスされたデバイスからの最深レベルの分析に対応することに集中させることができます(GrayKey抽出物からのデータのパーシングと抽出を含む)。 弊社の研究開発チームはGrayshiftの開発チームと直接協働して、パースされて提示されるデータを真に理解しています。これにより、Grayshiftツールで作成されたイメージファイルから得られたデータから重要なインサイトを見つけることができます。私たちの目標は、暗号化されたモバイルデバイスからGrayshiftツールを使って抽出されたデータに新しいアーティファクトやインサイトを提供することです。 私たちは、GrayKeyが提供する即日抽出のニーズも認識しています。テストと調査の結果、Safariの履歴、KnowledgeC、PowerLogおよびScreenTimeに見られるようなセンシティブなアーティファクトが存在することを私たちは発見しました。最大限の結果をパースするためには、できるだけ早急にデータを取得する必要があります。GrayKeyは、ロック済みiOSデバイスからの即日抽出を可能にします。即日抽出ができなければ、担当のケースのための貴重なデータを失う可能性があります。Magnet AXIOM + GrayKeyの組み合わせにより、デジタルフォレンジック検査官は、GrayKeyが提供するフルコンテンツのイメージファイルから関連する結果を取得することができます。 AX301コースでAXIOMとGrayKeyの詳細を学ぶ GrayKeyとの関係の一環として、 MagaK (Magnet AXIOM と GrayKey) 高度な iOS捜査(AX301)を提供しています。  Grayshiftの認定を受けた警察当局が利用できるこの4日間のコースでは、GrayKeyデバイスの実践的な使用と、取得したイメージファイルからのデータ分析を学習します。 GrayKeyデバイスを使用して、これまでほとんどのフォレンジック技術では利用できなかった情報へのアクセス方法を理解することに加えて、AX301ではアーティファクトのコア部分を深く掘り下げて、iOSファイルシステムを取り扱います。このクラスでは、位置情報の履歴、サードパーティ製アプリケーションなどの独占的なファイルシステムのアーティファクトを対象とします。高度な iOS 分析コースをお探しの方のために、AX301で提供されているiOSのアーティファクトを同じ深度まで掘り下げることに焦点を当てた Magnet AXIOM 高度 iOS 捜査(AX302) 提供します。 Magnet AUTOMATEを使用してGrayKeyイメージファイルの処理を統合する GrayKeyで定期的にモバイルのイメージファイルを作成している場合は、AUTOMATEを使用して、取得が完了した後に分析プロセスを統合することができます。AUTOMATE 2.2にWatch Foldersが導入されたことで、この統合は、処理が完了したGrayKeyの取得を受けて、ワークフロー内のAXIOMやiLEAPPなどのツールで処理することができるようになり、処理が完了したらすぐに分析を開始できるようになりました。 今後もMagnetとGrayshiftのパートナーシップを通じて、協働、統合およびインサイトを提供していきたいと考えています。Magnet ForensicsのGrayKeyの購入をご希望の方は、こちらから購入方法をご確認いただけます。 どのような追加の統合をご希望ですか?お気軽に Jessica.Hyde@magnetforensics.com までお問合せください。

Magnet + Grayshift: 모바일 조사에 맞는 가장 발전한 솔루션의 지속적인 제공

지난 1년 반 동안 Grayshift와 함께 파트너십을 맺을 수 있어 매우 자랑스럽게 생각합니다. 신뢰를 기반으로 GrayKey를 제품 (Magnet AXIOM)에 직접 통합시킨 유일한 회사일 뿐만 아니라, iOS 조사에 최적화된 가장 발전한 솔루션인 GrayKey를 전 세계 고객에게 선보일 좋은 기회였습니다. 또한, 당사의 Magnet User Summit, Magnet Virtual Summit, Virtually Together 이벤트뿐만 아니라 Techno Security, National ICAC Conference … Continued