Så här installerar du Mobile Verification Toolkit (MVT)
Mobile Verification Toolkit (MVT) fungerar som ett värdefullt verktyg för att effektivisera den konsensuella forensiska analysen av iOS-enheter, vilket möjliggör identifiering av intrångsindikatorer. Denna innovativa verktygslåda, från Amnesty International Security Lab, framkom inom ramen för Pegasus-projektet. MVT spelade en avgörande roll i att avslöja Operation Triangulation och dess tillhörande 0-dagarsattacker för iOS.
Key Takeaways
- MVT är den bästa programvaran för att upptäcka om din iPhone har komprometterats av legosoldatspionprogram som NSO Group Pegasus, Predator Spyware, Operation Triangulation, etc.
- Krypterade säkerhetskopior innehåller ytterligare poster som Safari-historik, Safari-status och annan relevant information, vilket förbättrar de kriminaltekniska insikterna.
Översikt
Mobile Verification Toolkit (MVT) är en uppsättning verktyg för att automatisera insamlingen av forensiska spår som är avgörande för att identifiera potentiella intrång på iOS-enheter. Denna verktygslåda är ovärderlig för att bedöma om en iPhone har blivit utsatt för hackning eller obehörig åtkomst. Genom att använda MVT kan användare effektivt analysera och fastställa säkerhetsstatusen för sina iOS-enheter, vilket säkerställer snabb upptäckt och respons på obehöriga aktiviteter.
Det här verktyget utformades för att identifiera de Pegasus-attacker som används av myndigheter för att ta full kontroll över varje iOS-enhet utan användarens vetskap genom att använda 0-dagars- och 0-klick-attacker. MVT underlättar användningen av offentliga indikatorer på kompromisser (IOC) för att genomföra skanningar på mobila enheter och identifiera potentiella spår av angrepp eller infektion av kända spionprogramkampanjer.
Denna funktionalitet omfattar även införlivande av IOC:er publicerade av framstående enheter som Amnesty International och andra välrenommerade forskningsgrupper. Användare kan använda Mobile Verification Toolkit (MVT) för att förbättra sin forensiska analys, vara vaksamma mot kända hot och stärka den övergripande säkerheten för mobila enheter.
Mobile Verification Toolkit (MVT) uppvisar en dynamisk uppsättning funktioner som kontinuerligt utvecklas för att möta kraven från forensisk analys. Dessa omfattar dekryptering av krypterade iOS-säkerhetskopior, noggrann bearbetning och parsning av poster som kommer från en myriad av iOS-system- och appdatabaser, loggar och systemanalyser.
Dessutom utökar MVT sin funktionalitet för att extrahera installerade applikationer från Android-enheter, samla in diagnostisk information från Android-enheter via adb-protokollet och jämföra extraherade poster mot en tillhandahållen lista över skadliga indikatorer i STIX2-format.
Nyheter
- Konvertera tidszonsmedvetna datum och tider automatiskt till UTC.
- Uppdaterar SMS-modulen för att markera den nya texten i Apple-aviseringar.
- Kräver den senaste kryptografiversionen.
- [auto] Uppdatera iOS-utgåvor och versioner.
- Förbättringar för SMS-modulen.
- Lägg till uri=True i mvt/ios/modules/base.py.
- Cirkulärreferens i SMS-modulens serialisering.
- dumpsys_accessibility.py: Stava tillgänglighet korrekt.
Dessutom genererar MVT JSON-loggar som omfattar extraherade poster, samtidigt som det skapar separata JSON-loggar som specifikt markerar alla upptäckta skadliga spår. Verktygslådan erbjuder vidare generering av en enhetlig kronologisk tidslinje som sammanfattar alla extraherade poster, tillsammans med en dedikerad tidslinje som betonar förekomsten av upptäckta skadliga spår.
Obs! För att köra MVT på macOS krävs att Xcode och homebrew är installerade.
MVT stöder iTunes-säkerhetskopior och systemdumpar från en jailbreakad miljö. I den senaste versionen av macOS initieras dessa säkerhetskopior direkt från Finder snarare än iTunes. Även om säkerhetskopior bara erbjuder en delvis representation av de filer som lagras på enheten, visar de sig ofta vara tillräckliga för att upptäcka vissa misstänkta artefakter.
Krypterade säkerhetskopior, som kräver ett lösenord för åtkomst, innehåller ytterligare spännande poster som inte är tillgängliga i deras okrypterade motsvarigheter. Dessa omfattar viktig data som Safari-historik, Safari-status och annan relevant information, vilket förbättrar de forensiska insikter som kan hämtas från analysen.
MVT möjliggör extraktion av information från iDevice, vilket ger en omfattande översikt. Detta inkluderar att skapa en tidslinje som noggrant registrerar varje process och app som körs på systemet. Dessutom erbjuder MVT insikter i olika parametrar som det totala antalet meddelanden, enhetsidentifierare som ID, ECID, GUID, ICCID, MEID och IMEI, samt en lista över installerade appar. Dessutom belyser den systemkomponenter som nås av appar, till exempel mikrofonen, och erbjuder en grundlig analys av enhetens aktivitet och konfiguration.
Stödd spionprogramdetektering
- NSO Group Pegasus
- Predator Spionprogram
- RCS Lab-spionprogram
- Stalkerware
- Övervakningskampanj
- Quadream KingSpawn
- Operation Triangulering
- WyrmSpy och DragonEgg
Hur man installerar MVT
Mobile Verification Toolkit (MVT) finns tillgänglig för nedladdning via PyPI. Denna effektiviserade metod är lika tillämplig för Windows-, Linux- och macOS-användare som vill installera verktyget. MVT tillhandahåller två kommandon, mvt-ios och mvt-android, för körning från kommandoraden.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory