This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Mobile Verification Toolkit: Detectando al Spyware Pegasus

  • 0 Replies
  • 712 Views

josebb and 1 Guest are viewing this topic.

Offline AXCESS

  • *
  • Moderador Global
  • Posts: 1984
  • Actividad:
    100%
  • Country: 00
  • Reputación 24
    • View Profile
    • Email
You are not allowed to view links. Register or Login

"Existe una solución de seguridad que detecte al Spyware Pegasus?"

Esta interrogante la presencié de parte de un hombre de negocios que conversaba con un grupo de informáticos sobre los mejores hábitos, y las soluciones integrales de seguridad con el móvil que a nuestro juicio eran muy efectivas.

Busqué información al respecto y esto fue lo que encontré, porque para ser sincero tenía yo también la interrogante.

Como bien se supone, el creador de Pegasus posee una herramienta para tal fin. Estoy hablando de la compañía NSO.
Esto no se puede confirmar y es especulativo. Pero se infiere por razones obvias.

Es importante destacar que el detectar a Pegasus es muy complejo, como se verá, pues es un Spyware que constantemente se está modificando, tanto en los exploit de zero day como en su estructura heurística. Está destinado para IOS, pero también tiene una versión para Android.

Existe una herramienta, en efecto, que puede detectar al célebre Spyware. Esta pertenece a la compañía Citienlab y es  OpenSource.

MVT [ Mobile Verification Toolkit ]

Mobile Verification Toolkit (MVT) es una colección de utilidades diseñadas para facilitar la adquisición forense consensuada de dispositivos iOS y Android con el fin de identificar cualquier signo de compromiso.

Las capacidades de MVT evolucionan continuamente, pero algunas de sus características clave incluyen:

    Descifrar copias de seguridad cifradas de iOS.

    Procese y analice registros de numerosos sistemas iOS y bases de datos de aplicaciones, registros y análisis del sistema.

    Extrae las aplicaciones instaladas de los dispositivos Android.

    Extraiga información de diagnóstico de dispositivos Android a través del protocolo adb.

    Compare los registros extraídos con una lista provista de indicadores maliciosos en formato STIX2.

    Genere registros JSON de los registros extraídos y separe los registros JSON de todos los rastros maliciosos detectados.

    Genere una línea de tiempo cronológica unificada de registros extraídos, junto con una línea de tiempo de todos los rastros maliciosos detectados.

MVT es una herramienta de investigación forense destinada a tecnólogos e investigadores.

Usarlo requiere comprender los conceptos básicos del análisis forense y usar herramientas de línea de comandos. MVT no está diseñado para la autoevaluación del usuario final. Si le preocupa la seguridad de su dispositivo, busque ayuda de expertos.


Análisis forense consensuado

Si bien MVT es capaz de extraer y procesar varios tipos de registros muy personales que normalmente se encuentran en un teléfono móvil (como el historial de llamadas, mensajes SMS y WhatsApp, etc.), esto tiene como objetivo ayudar a identificar posibles vectores de ataque, como mensajes SMS maliciosos que conducen a la explotación.

El propósito de MVT no es facilitar el análisis forense contradictorio de los dispositivos de personas que no dan su consentimiento.


You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login



[MVT]…se basa prácticamente en búsqueda de patrones en los datos del teléfono,(paquetesroot,urls,strings,hashes) previo backup o del análisis de los paquetes instalados, via Api de Virustotal y Kodoous.**

Indicadores de compromiso (IOC)

You are not allowed to view links. Register or Login

MVT utiliza archivos de expresión de información de amenaza estructurada (STIX) para identificar posibles rastros de compromiso.

Repositorios conocidos de STIX2 IOC


     “El repositorio de investigaciones de Amnistía Internacional contiene IOC en formato STIX para:

         Pegasus (STIX2)

         Depredador de Cytrox (STIX2)

     Este repositorio contiene IOC para Android stalkerware, incluido un archivo compatible con STIX MVT.

Puede descargar automáticamente los últimos archivos de indicadores públicos con el comando mvt-ios download-iocs o mvt-android download-iocs. Estos comandos descargan la lista de indicadores enumerados aquí y los almacenan en la carpeta appdir. Luego, MVT los carga automáticamente.


Fuentes consultadas:

CitizenLab
You are not allowed to view links. Register or Login

MVT [ Mobile Verification Toolkit ]
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

**Pegasus (Lectura recomendada)
You are not allowed to view links. Register or Login
Autor: puppetmaster
De: elbinario.net.
You are not allowed to view links. Register or Login
« Last Edit: July 08, 2022, 01:00:53 am by AXCESS »
You are not allowed to view links. Register or Login