Actualizaciones de Recolección de Datos Remota
La capacidad de reducir costos y agilizar las investigaciones mediante recolección remota son beneficios clave proporcionados por Oxygen Remote Explorer.
Recolección Remota de Datos desde Puntos Finales Basados en Windows
En 2024, Oxygen Forensics mejoró la recolección remota de datos desde puntos finales basados en Windows.
Primero, Oxygen Forensics añadió la capacidad de capturar de forma remota un volcado de memoria del sistema operativo Windows. Ahora, los usuarios pueden hacer clic derecho sobre el punto final de interés y seleccionar la opción para crear un volcado de memoria. El volcado creado se envía al servidor. Posteriormente, los usuarios pueden descargar el volcado desde el servidor y utilizar una herramienta de terceros para su análisis.
En segundo lugar, Oxygen Forensics introdujo la capacidad de capturar de forma remota una imagen bit a bit del disco o partición del sistema operativo Windows en formato E01. Ahora los investigadores pueden crear volcados tanto de discos y particiones no encriptados como de aquellos protegidos con Bitlocker. El volcado creado puede guardarse en el almacenamiento local o enviarse al servidor.
Finalmente, Oxygen Forensics implementó la recuperación de archivos eliminados desde puntos finales remotos para los sistemas de archivos NTFS, FAT y exFAT.
Recolección Remota de Datos desde Dispositivos Android y Apple iOS
En 2024, Oxygen Forensics añadió nuevas características que hacen de Oxygen Remote Explorer una herramienta aún más poderosa para la recolección remota de datos desde dispositivos Android y Apple iOS.
Oxygen Forensics mejoró drásticamente el algoritmo de extracción remota de iOS para permitir la extracción selectiva de datos. Ahora los investigadores pueden elegir extraer solo artefactos específicos para cumplir con sus requisitos de búsqueda. Este cambio también ayuda a aliviar la carga del servidor y acelera la recolección y transferencia de datos extraídos para su análisis.
Oxygen Forensics también añadió la capacidad de recolectar datos de WhatsApp y WhatsApp Business de forma remota desde cualquier lugar del mundo con conexión celular o Wi-Fi. Esta nueva función permite a los investigadores recolectar una variedad de datos de WhatsApp, incluyendo información del usuario, chats, contactos y llamadas. Antes de la extracción, los usuarios pueden ajustar las opciones de extracción para seleccionar los datos que deben ser obtenidos. Las opciones de extracción de datos de WhatsApp son altamente personalizables, lo que permite una recolección rápida y específica de datos.
Mejoras en las Funciones del Centro de Gestión de Agentes
En 2024, Oxygen Forensics añadió varias mejoras funcionales al Centro de Gestión de Agentes, incluyendo:
- Un Centro de Notificaciones donde los usuarios ahora pueden ver todas las notificaciones importantes del sistema.
- Una utilidad para la configuración de parámetros del servidor, donde los investigadores pueden elegir los parámetros para las conexiones del servidor, registros, repositorios de extracción y hacer copias de seguridad o restablecer la configuración del servidor a sus valores predeterminados.
- La capacidad de configurar el registro del trabajo de los Agentes. Ahora los usuarios pueden establecer el nivel de registro y eliminar o comprimir intervalos en la configuración del punto final.
- Los investigadores ahora tienen la opción de exportar todos o logs seleccionados de usuarios a formatos CSV, TSV, XLSX y HTML. Los logs pueden ser usados para informes internos o resolución de problemas.
- Los usuarios pueden reiniciar automáticamente las tareas de extracción de datos que finalizaron con errores. Solo tienen que establecer el número de intentos y el Agente reiniciará automáticamente la extracción de datos si la tarea falla.
Explorador de Archivos Remoto
Ahora los usuarios tienen la capacidad de acceder de forma remota al sistema de archivos del punto final, lo que les permite seleccionar artefactos específicos para su extracción e importarlos a Oxygen Remote Explorer para su análisis y elaboración de informes.
Finalmente, Oxygen Forensics añadió la capacidad de trabajar con el sistema de archivos del punto final. Ahora los investigadores pueden explorar el sistema de archivos para seleccionar los artefactos que necesitan extraer, establecer rutas para archivos temporales o elegir el almacenamiento local para imágenes de disco.
Extracción Selectiva Remota de WhatsApp y WhatsApp Business
Se añadieron nuevas opciones de extracción para la recolección remota de datos de WhatsApp y WhatsApp Business desde dispositivos Android, incluyendo la selección de los nombres de los chats y las fechas.
Mejoras en la Gestión de Tareas
Oxygen Forensics añadió la capacidad de reiniciar automáticamente las tareas de extracción de datos que finalizaron con errores. Los usuarios también pueden establecer el número de intentos de reintento de tareas y elegir priorizarlas sobre otras tareas de extracción.
Formato MSI para Agente de Windows
Ahora los usuarios pueden descargar el Agente para Windows en formato MSI, junto con el formato EXE existente, proporcionando mayor flexibilidad para su implementación.
Actualizaciones de Artefactos de Computadora
Se añadió soporte para más artefactos de computadora, y los usuarios ahora pueden buscar por conjuntos de hash.
Nuevos Artefactos
A continuación, se enumeran los nuevos artefactos de computadora soportados para extracción:
- Hashes NTLM de Windows
- Contraseñas de Bitwarden de Windows, macOS y GNU/Linux
- Datos de NordPass de Windows, macOS y GNU/Linux
- Datos de Brave Nightly de Windows, macOS y GNU/Linux
- Datos de FrostWire de Windows, macOS y GNU/Linux
- Claves SSH de Windows
- Datos de 7-Zip de Windows
- Datos de Flatpak de GNU/Linux
Búsqueda por Conjuntos de Hash
Oxygen Forensics añadió la capacidad de usar conjuntos de hash al crear reglas de búsqueda de archivos.
Actualizaciones de Forense en la Nube
Nuestras capacidades de extracción en la nube, las mejores de la industria, ahora incluyen la autorización actualizada de servicios en la nube.
Actualizaciones de Extracción en la Nube
Oxygen Forensics actualizó la capacidad de autorizar en los siguientes servicios de la nube:
- Box
- Datos de Samsung Cloud
- Respaldo de Samsung Cloud
- Respaldo de la carpeta segura de Samsung
- Telegram
- Zoom
Actualizaciones de KeyDiver
Se han añadido varias actualizaciones a KeyDiver, nuestra herramienta de descifrado para particiones de computadoras, archivos y aplicaciones.
Nuevo Soporte de Fuerza Bruta
Ahora KeyDiver puede encontrar códigos de acceso para descifrar:
- Contenedores y particiones protegidos con VeraCrypt
- Respaldos de Huawei HiSuite
Oxygen Forensics también añadió soporte para hashes NTLM, lo que permite a los usuarios encontrar contraseñas de una cuenta de usuario en Windows y descifrar datos del sistema operativo y aplicaciones de terceros asociadas con esta contraseña.
Administrador de Plantillas
Oxygen Forensics añadió la capacidad de crear plantillas de ataque personalizadas. Los usuarios pueden crear plantillas mediante dos métodos:
- Guardar los parámetros del ataque como una plantilla mientras configuran un nuevo ataque.
- Usar el botón «Crear Nueva Plantilla» en el Administrador de Plantillas.
Ventana de Configuración
Se añadió una ventana de Configuración para permitir a los usuarios habilitar o deshabilitar controladores (CUDA, HIP, OpenCL, Monitoreo de Temperatura), gestionar la cola de ataques, establecer un umbral de temperatura y ajustar el rendimiento deseado. Las configuraciones seleccionadas se guardarán y se aplicarán automáticamente a todos los ataques actuales y posteriores.
Actualizaciones Forenses Móviles
Detección Automática de Dispositivos Conectados
La detección automática de dispositivos conectados ahora es compatible en Oxygen Remote Explorer. Al iniciar Device Extractor, se mostrará la información disponible sobre el dispositivo conectado junto con los métodos disponibles para la extracción de datos.
La detección automática es compatible con dispositivos Android si la depuración ADB está habilitada y confirmada, y con dispositivos iOS con la opción de confianza confirmada.
Mejoras en el Método del Agente
Se añadieron varias mejoras a este método:
- Soporte para grabación de audio durante la captura de video de la pantalla del dispositivo, por lo que tanto el video como el audio de la actividad en pantalla son grabados.
- Un nuevo modo de extracción en Device Extractor que guía a los usuarios a través del proceso de extracción manual de datos mediante el Android Agent.
- Añadida la capacidad de extraer datos de Slack mediante el Android Agent.
- Añadida la capacidad de extraer mensajes programados de Telegram mediante el Android Agent.
Actualizaciones de Importación
Oxygen Forensics también añadió soporte para la importación y análisis de datos de cuentas de plataformas de redes sociales, incluyendo:
Importación de Datos de Cuentas de TikTok
Oxygen Remote Explorer ahora soporta la importación y el análisis de datos de cuentas de TikTok. Las categorías extraídas incluyen la siguiente información:
- Historial de autorización del propietario de la cuenta
- Última ubicación conocida
- Detalles principales de la cuenta
- Seguidores y suscripciones
- Mensajes directos
- Usuarios bloqueados
- Configuración de la aplicación
- Publicaciones
- Historial de búsqueda
Actualizaciones Generales
Oxygen Forensics abordó una de sus características más solicitadas con la adición de un módulo integrado que permite el escaneo selectivo de archivos extraídos en busca de malware y amenazas potenciales. Ahora puedes desbloquear una detección avanzada de malware, incluyendo búsquedas utilizando YARA Rules.
Escaneo de Malware Selectivo
Ahora también puedes configurar los ajustes del escaneo de malware e iniciar un escaneo de malware. Tanto la estructura completa de archivos extraídos como solo archivos seleccionados pueden ser escaneados. Se soportan más de 10 amenazas identificables. Los resultados aparecerán en la barra de herramientas, mostrando el estado de los archivos escaneados, las amenazas identificadas, la hora de inicio del escaneo y otros detalles relevantes.