Underc0de

[In]Seguridad Informática => Seguridad => Topic started by: AXCESS on July 08, 2022, 12:57:47 am

Title: Mobile Verification Toolkit: Detectando al Spyware Pegasus
Post by: AXCESS on July 08, 2022, 12:57:47 am
(https://i.postimg.cc/RCHm6TP6/Mobile-Verification-Toolkit.png) (https://postimages.org/)

"Existe una solución de seguridad que detecte al Spyware Pegasus?"

Esta interrogante la presencié de parte de un hombre de negocios que conversaba con un grupo de informáticos sobre los mejores hábitos, y las soluciones integrales de seguridad con el móvil que a nuestro juicio eran muy efectivas.

Busqué información al respecto y esto fue lo que encontré, porque para ser sincero tenía yo también la interrogante.

Como bien se supone, el creador de Pegasus posee una herramienta para tal fin. Estoy hablando de la compañía NSO.
Esto no se puede confirmar y es especulativo. Pero se infiere por razones obvias.

Es importante destacar que el detectar a Pegasus es muy complejo, como se verá, pues es un Spyware que constantemente se está modificando, tanto en los exploit de zero day como en su estructura heurística. Está destinado para IOS, pero también tiene una versión para Android.

Existe una herramienta, en efecto, que puede detectar al célebre Spyware. Esta pertenece a la compañía Citienlab y es  OpenSource.

MVT [ Mobile Verification Toolkit ]

Mobile Verification Toolkit (MVT) es una colección de utilidades diseñadas para facilitar la adquisición forense consensuada de dispositivos iOS y Android con el fin de identificar cualquier signo de compromiso.

Las capacidades de MVT evolucionan continuamente, pero algunas de sus características clave incluyen:

    Descifrar copias de seguridad cifradas de iOS.

    Procese y analice registros de numerosos sistemas iOS y bases de datos de aplicaciones, registros y análisis del sistema.

    Extrae las aplicaciones instaladas de los dispositivos Android.

    Extraiga información de diagnóstico de dispositivos Android a través del protocolo adb.

    Compare los registros extraídos con una lista provista de indicadores maliciosos en formato STIX2.

    Genere registros JSON de los registros extraídos y separe los registros JSON de todos los rastros maliciosos detectados.

    Genere una línea de tiempo cronológica unificada de registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.

MVT es una herramienta de investigación forense destinada a tecnólogos e investigadores.

Usarlo requiere comprender los conceptos básicos del análisis forense y usar herramientas de línea de comandos. MVT no está diseñado para la autoevaluación del usuario final. Si le preocupa la seguridad de su dispositivo, busque ayuda de expertos.


Análisis forense consensuado

Si bien MVT es capaz de extraer y procesar varios tipos de registros muy personales que normalmente se encuentran en un teléfono móvil (como el historial de llamadas, mensajes SMS y WhatsApp, etc.), esto tiene como objetivo ayudar a identificar posibles vectores de ataque, como mensajes SMS maliciosos que conducen a la explotación.

El propósito de MVT no es facilitar el análisis forense contradictorio de los dispositivos de personas que no dan su consentimiento.


https://docs.mvt.re/en/latest/

https://github.com/mvt-project


[MVT]…se basa prácticamente en búsqueda de patrones en los datos del teléfono,(paquetesroot,urls,strings,hashes) previo backup o del análisis de los paquetes instalados, via Api de Virustotal y Kodoous.**

Indicadores de compromiso (IOC)

https://docs.mvt.re/en/latest/iocs/

MVT utiliza archivos de expresión de información de amenaza estructurada (STIX) para identificar posibles rastros de compromiso.

Repositorios conocidos de STIX2 IOC


     “El repositorio de investigaciones de Amnistía Internacional contiene IOC en formato STIX para:

         Pegasus (STIX2)

         Depredador de Cytrox (STIX2)

     Este repositorio contiene IOC para Android stalkerware, incluido un archivo compatible con STIX MVT.

Puede descargar automáticamente los últimos archivos de indicadores públicos con el comando mvt-ios download-iocs o mvt-android download-iocs. Estos comandos descargan la lista de indicadores enumerados aquí y los almacenan en la carpeta appdir. Luego, MVT los carga automáticamente.


Fuentes consultadas:

CitizenLab
https://www.citizenlab.co

MVT [ Mobile Verification Toolkit ]
https://docs.mvt.re/en/latest/
https://docs.mvt.re/en/latest/iocs/
https://github.com/mvt-project

**Pegasus (Lectura recomendada)
https://elbinario.net/2022/05/04/pegasus/
Autor: puppetmaster
De: elbinario.net.
https://elbinario.net/