Mobiilivahvistustyökalujen (MVT) asentaminen
Mobile Verification Toolkit (MVT) on arvokas työkalu iOS-laitteiden konsensusperusteisen rikosteknisen analyysin virtaviivaistamiseen ja mahdollistaa vaarantumisindikaattoreiden tunnistamisen. Tämä Amnesty International Security Labin innovatiivinen työkalupakki syntyi Pegasus-projektin puitteissa. MVT:llä oli keskeinen rooli Operation Triangulationin ja siihen liittyvien iOS:n 0-päivän hyökkäysten paljastamisessa.
Key Takeaways
- MVT on paras ohjelmisto havaitsemaan, onko iPhoneesi tarttunut palkkasoturivakoiluohjelmia, kuten NSO Group Pegasus, Predator Spyware, Operation Triangulation jne.
- Salatut varmuuskopiot sisältävät lisätietoja, kuten Safarin historian, Safarin tilan ja muita olennaisia tietoja, mikä parantaa rikostutkinnan tuloksia.
Yleiskatsaus
Mobile Verification Toolkit (MVT) on joukko apuohjelmia, jotka automatisoivat rikosteknisten jälkien keräämisen, mikä on olennaista iOS-laitteiden mahdollisten tietomurtojen tunnistamiseksi. Tämä työkalupakki on korvaamaton arvioitaessa, onko iPhone hakkeroinnin tai luvattoman käytön kohteeksi joutunut. MVT:n avulla käyttäjät voivat tehokkaasti analysoida ja varmistaa iOS-laitteidensa tietoturvatilan varmistaen nopean havaitsemisen ja reagoinnin kaikkiin luvattomiin toimiin.
Tämä työkalu suunniteltiin tunnistamaan Pegasus-hyökkäyksiä, joita hallitukset käyttävät ottaakseen täyden hallinnan kaikista iOS-laitteista käyttäjän tietämättä hyödyntämällä 0 päivän ja 0 klikkauksen hyökkäyksiä. MVT mahdollistaa julkisten hyökkäysindikaattoreiden (IOC) hyödyntämisen mobiililaitteiden skannauksissa ja tunnistaakseen tunnettujen vakoiluohjelmakampanjoiden mahdolliset kohdistus- tai tartuntajäljet.
Tämä toiminnallisuus ulottuu merkittävien toimijoiden, kuten Amnesty Internationalin ja muiden hyvämaineisten tutkimusryhmien, julkaisemien IOC-arvojen sisällyttämiseen. Käyttäjät voivat hyödyntää Mobile Verification Toolkit (MVT) -työkalua rikostutkinta-analyysien parantamiseen, pysyäkseen valppaina tunnettujen uhkien varalta ja vahvistaakseen mobiililaitteiden yleistä turvallisuutta.
Mobile Verification Toolkit (MVT) tarjoaa dynaamisen valikoiman ominaisuuksia, jotka kehittyvät jatkuvasti vastaamaan rikostutkinnan vaatimuksiin. Näitä ovat salattujen iOS-varmuuskopioiden salauksen purkaminen, lukuisista iOS-järjestelmä- ja sovellustietokannoista, lokeista ja järjestelmäanalytiikasta saatujen tietueiden huolellinen käsittely ja jäsentäminen.
Lisäksi MVT laajentaa toiminnallisuuttaan purkaakseen asennettuja sovelluksia Android-laitteista, kerätäkseen diagnostiikkatietoja Android-laitteista adb-protokollan kautta ja verratakseen purettuja tietoja annettuun haittaohjelmien indikaattoreiden luetteloon STIX2-muodossa.
Uutta
- Muunna aikavyöhykkeen mukaiset päivämäärät ja kellonajat automaattisesti UTC-ajaksi.
- Päivittää SMS-moduulin korostamaan Apple-ilmoitusten uuden tekstin.
- Vaatii uusimman kryptografiaversion.
- [auto] Päivittää iOS-julkaisut ja -versiot.
- Parannuksia SMS-moduuliin.
- Lisätty uri=True tiedostoon mvt/ios/modules/base.py.
- Ympyräviittaus SMS-moduulin sarjoituksessa.
- dumpsys_accessibility.py: Kirjoita esteettömyys oikein.
Lisäksi MVT luo JSON-lokeja, jotka sisältävät poimitut tietueet, ja luo myös erilliset JSON-lokit, jotka korostavat erityisesti kaikkia havaittuja haitallisia jälkiä. Työkalupakki tarjoaa myös yhtenäisen kronologisen aikajanan luomisen, joka kapseloi kaikki poimitut tietueet, sekä erillisen aikajanan, joka korostaa havaittujen haitallisten jälkien olemassaoloa.
Huomautus: MVT:n suorittaminen macOS:ssä vaatii Xcoden ja homebrew'n asentamisen.
MVT tukee iTunes-varmuuskopioita ja järjestelmävedoksia jailbroken-ympäristöstä. Uusimmissa macOS-versioissa nämä varmuuskopiot käynnistetään suoraan Finderista iTunesin sijaan. Vaikka varmuuskopiot tarjoavat vain osittaisen esityksen laitteelle tallennetuista tiedostoista, ne osoittautuvat usein riittäviksi tiettyjen epäilyttävien artefaktien havaitsemiseksi.
Huomionarvoista on, että salatut varmuuskopiot, joihin pääsy vaatii salasanan, sisältävät mielenkiintoisia lisätietoja, joita ei ole saatavilla salaamattomissa vastineissa. Nämä sisältävät merkittäviä tietoja, kuten Safarin historian, Safarin tilan ja muita olennaisia tietoja, mikä parantaa analyysistä saatavia rikosteknisiä näkemyksiä.
MVT mahdollistaa tiedon poiminnan iDevice-laitteesta ja tarjoaa kattavan yleiskuvan. Tämä sisältää aikajanan luomisen, joka tallentaa huolellisesti kaikki järjestelmässä käynnissä olevat prosessit ja sovellukset. Lisäksi MVT tarjoaa tietoa useista parametreista, kuten viestien kokonaismäärästä, laitetunnisteista, kuten ID, ECID, GUID, ICCID, MEID ja IMEI, sekä asennettujen sovellusten luettelosta. Lisäksi se valaisee sovellusten käyttämiä järjestelmäkomponentteja, kuten mikrofonia, tarjoten perusteellisen analyysin laitteen toiminnasta ja kokoonpanosta.
Tuettu vakoiluohjelmien tunnistus
- NSO-ryhmä Pegasus
- Predator-vakoiluohjelma
- RCS Labin vakoiluohjelmat
- Stalkerware
- Valvontakampanja
- Quadream KingSpawn
- Operaatio Triangulaatio
- Lohikäärmevakooja ja Lohikäärmeenmuna
MVT:n asentaminen
Mobile Verification Toolkit (MVT) on ladattavissa PyPI:n kautta. Tämä virtaviivaistettu menetelmä sopii yhtä lailla Windows-, Linux- ja macOS-käyttäjille, jotka haluavat asentaa apuohjelman. MVT tarjoaa kaksi komentoa, mvt-ios ja mvt-android, jotka voidaan suorittaa komentoriviltä.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory