Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
abril
(Total:
69
)
- Elon Musk quiere que Twitter gane más dinero. Para...
- Declaración por el Futuro de Internet de Europa y ...
- Cómo bloquear llamadas no deseadas en Android
- Organismos gubernamentales de Perú víctimas del ra...
- Telefónica cierra Tuenti y migra sus clientes a O2
- La Play Store obliga a las aplicaciones a revelar ...
- Google ya acepta peticiones para eliminar datos pe...
- Amazon es acusada de compartir tus conversaciones ...
- Microsoft descubre vulnerabilidades de escalada de...
- Facebook reconoce que no sabe dónde van nuestros d...
- HTTPA es el protocolo sucesor de HTTPS
- 8 detenidos por desviar dinero de nónminas de trab...
- Grupo de ransomware Stormous afirma haber hackeado...
- ¿Qué puede llegar a saber el navegador sobre ti?
- Elon Musk compra Twitter por 44.000 millones de dó...
- LinkedIn a la cabeza del top ten de marcas suplant...
- El operador de varias webs de descargas y streamin...
- 2 de cada 3 teléfonos Android eran vulnerables eje...
- Apple censurará desnudos que se envíen al iPhone d...
- DDoSecrets ha filtrado cientos de GB de datos ruso...
- Google Play prohibirá las aplicaciones de grabació...
- Varias apps de videoconferencia te escuchan inclus...
- F-Droid, una buena alternativa a la Google Play Store
- Proyecto de cargador único para la Unión Europea: ...
- Vulnerabilidades en UEFI afectan varios modelos de...
- Supuesta vulnerabilidad en 7-Zip para Windows perm...
- El troyano «Fakecalls» imita las conversaciones te...
- Cómo proteger el iPhone de spyware avanzado
- Manual completo para saber si tu teléfono ha sido ...
- Octo es un nuevo y avanzado troyano bancario para ...
- T-Mobile trató de comprar sus datos robados pero l...
- Desvelan informe de espionaje masivo a líderes y a...
- PowerToys para Windows 10 y 11
- Los rostros de millones de ciudadanos europeos en ...
- La junta directiva de Twitter amenaza a Elon Musk ...
- GitHub descubre docenas de organizaciones afectada...
- Elon Musk quiere comprar Twitter por 43.000 millon...
- Intento de ciberataque Ruso contra un proveedor de...
- Windows 3.1 cumple 30 años
- Vulnerabilidad crítica en RPC de Windows
- El vídeo completo de la presentación de Windows 95
- Microsoft desarticula la botnet ZLoader, utilizada...
- 6 aplicaciones antivirus falsas capaces de robar d...
- Malware QBot se distribuye ahora en formato Window...
- Microsoft acusa a China sobre los últimos ataques ...
- Raspberry Pi elimina por seguridad el usuario por ...
- El FBI hace oficial el cierre de RaidForums y la d...
- Grave vulnerabilidad en móviles Samsung permite ma...
- Microsoft impide múltiples ciberataques rusos cont...
- Anonymous hackea las cámaras de seguridad del Kremlin
- La Play Store de Google ocultará las aplicaciones ...
- Un alemán de 60 años se vacuna contra el Covid 90 ...
- Espionaje masivo en cientos de aplicaciones de Goo...
- Un fallo informático permite a 300 delincuentes el...
- Una pista en Alemania provocó la caída del mercado...
- El FBI desmantela la principal botnet Rusa
- Windows 11 prepara un gran avance en seguridad, pe...
- Twitter está trabajando en un botón para editar tw...
- La Policía de Alemania cierra el mercado negro ile...
- Anonymous publica los datos personales de 120.000 ...
- Hackean varios canales de Youtubers musicales de Vevo
- Hackean MailChimp y lo usan para robar criptomoned...
- Elon Musk se convierte en el mayor accionista de T...
- Cómo encontrar un móvil perdido o robado con Android
- Abrir cualquier documento PDF, DOC o imagen de for...
- Programas gratuitos para hacer copias de seguridad...
- Principales características del Ransomware LockBit...
- La Policía de Londres presenta cargos contra 2 de ...
- Un ciberataque al grupo Iberdrola deja expuestos l...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Manual completo para saber si tu teléfono ha sido espiado por Pegasus
Tal es la amplitud y la extensión de los posibles usuarios afectados por el spyware que cualquier usuario puede
comprobar si su teléfono ha sido infectado por Pegasus. Para ello, un grupo de investigadores implicados en el caso, desarrolló una herramienta escrita en Python que "verifica" si el teléfono móvil ha sido infectado con Pegasus mediante indicadores de compromiso. El problema es que la herramienta no es muy intuitiva, no dispone de GUI (interfaz gráfica), son comandos vía terminal y requiere de algunos conocimientos básicos (además no tiene soporte nativo para Windows), así como de realizar previamente una copia de seguridad.
Hay que aclarar que si eres un "ciudadano común", es más que probable que estés a salvo y que tu teléfono no haya sido intervenido. Sin embargo, si desempeñas labores como político. periodista o activista en los países envueltos en el caso de Pegasus, es recomendable que uses esta herramienta, especialmente si usas un iPhone, porque por desgracia para sus propietarios la gran mayoría han sido infectados utilizando exploits en iMessage de Apple. Además según el New York Times, tiene un coste 500.000 dólares para infectar un móvil.
Pegasus es un spyware (software espía) para iOS, el sistema operativo de los iPhone, diseñado y desarrollado por una compañía privada de seguridad israelí llamada NSO Group. Un desarrollo que, en principio, solo se ofrece a gobiernos y a cuerpos y fuerzas de seguridad del estado. Existe una versión para Android (bautizada) por Google y llamada Chrysaor.
Saber si tu teléfono está infectado por Pegasus con Mobile Verification Toolkit (MVT)
Mobile Verification Toolkit es una herramienta desarrollada por investigadores que han trabajado con Amnistía Internacional. La idea detrás de esta colección de herramientas de software es la de "simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso en dispositivos Android e iOS".
No obstante, hay algunas herramientas de terceros que simplifican algo el proceso. La apps iMazing incluye como función gratuita la detección de Pegasus. La app utiliza el kit de MVT. Sus instrucciones y su descarga están disponibles aquí.
Para instalar este software, necesitaremos usar macOS o Linux y seguir los pasos que la página de GitHub. Una vez hechos, dependiendo de qué dispositivo usemos podremos realizar comprobaciones en nuestro teléfono mediante comandos. Podremos revisar las copias de seguridad de iTunes, descifrar dicha copia de seguridad o revisar copias de seguridad de Android, siguiendo una serie de pasos en las terminales de Linux y Mac.
IOC's de Pegasus
La herramienta compara las firmas digitales de los apk instalados con motores de AV como virus total en busca de IOC (Indicadores de Compromiso) y muestra si hay detección o no.
La herramienta simplemente "comprueba" en una copia de seguridad de un Iphone buscando trazas de unos dominios, procesos y direcciones Ips que Amnistía declaró relacionados con NSO Group y Pegasus Es lo que llamamos IOCs o indicadores de compromiso
Esta herramienta testea en una copia de seguridad de un Iphone buscando trazas de unos dominios, procesos y direcciones Ips que Amnistía declaró relacionados con NSO Group y Pegasus
Para ello la búsqueda se realiza en los SMS recibidos intentando encontrar algunos con enlaces maliciosos correspondientes a estos IOCs. El siguiente paso es el examen del historial de navegación de Safari. El tercer paso es el examen de "cuentas de iCloud" asociadas a Pegasus que hayan interactuado con el dispositivo. De hecho algunas de estas cuentas se utilizaron contra varias víctimas a la vez. Esta información se guardaba también cifrada en los backups hasta IOS 14.7
Se examina luego dos archivos :
- Datausage y Netusage que contienen un registro con nombres de procesos y la información que enviaron o recibieron de la red. Se buscan nombres de procesos comunes en otras infecciones y asociados a Pegasus
Con esta información la herramienta confecciona una línea temporal de lo encontrado y más significativo , para analizarlo relacionándolo con las fechas en que ocurrió lo que va encontrando
Utilizar MTV
No importa si estás usando Android o iOS, necesitarás MVT
Abre la terminal:
pip3 install mvt --user
Android
Habilitar el modo desarrollador
mvt usa ADB para leer la información del dispositivo, y deberás habilitar el modo de desarrollador:
- ir a la configuración
- encontrar Acerca de este teléfono
- "Número de compilación" local y presiona varias veces
Luego ves a Configuración y busca Opciones de desarrollador
- Depuración USB y habilitar
Realizar el análisis
Si eres desarrollador de Android, recuerda que Android Studio debe estar cerrado.
Abre la Terminal y ejecutas
bin/mvt-android check-adb
Android con Backup
Instalar ADB para copia de seguridad
Soporte ADB para Android Debug Bridge. Es una herramienta para controlar teléfonos Android, es utilizada principalmente por desarrolladores.
Puedes instalar ADB de la siguiente manera, en Android SDK y descarga las herramientas de la plataforma, y recuerda descargar en la carpeta "Descargas" para que el siguiente tutorial funcione. Luego descomprime el archivo y busca la carpeta de herramientas de la plataforma.
Copia de seguridad de su dispositivo Android
Conecta tu teléfono Android al ordenador y crea una parte posterior de la siguiente manera:
$ ~/Downloads/platform-tools/adb backup -all
Ahora desbloquee su dispositivo y confirme la operación de copia de seguridad.
Esto producirá un archivo backup.ab
bin/mvt-android check-backup
Analizar en busca de Pegasus teléfono iOS
mvt-ios check-backup /Users/SU_NOMBRE DE USUARIO/Library/Application\ Support/MobileSync/Backup/d49de92a50b83....19c394a7
Cómo hacer una copia de seguridad y analizar dispositivos iOS contra los IOC de Pegasus usando Docker y MVT
Esta guía le brinda un procedimiento paso a paso para realizar un análisis forense de un dispositivo iOS utilizando el kit de herramientas de verificación móvil (MVT) creado por el equipo de Amnistía Internacional.
Muchas personas tienen dificultades para analizar los dispositivos iOS debido a la complejidad del procedimiento en Linux.
Puedes usar Docker porque las últimas versiones de iOS requieren el uso de una versión de libimobiledevice que aún no está disponible en Linux. Usamos libimobiledevice para respaldar el dispositivo iOS en lugar de usar iTunes.
Esta guía ha sido probada con éxito en Ubuntu 20.04 con:
- iOS 13.5.1
- iOS 14.5
- iOS 14.7
Requisitos
- Un sistema operativo basado en Debian
- Un acceso root en su computadora
- Docker ya instalado
- Conocimientos en línea de comandos de Linux
Sigue cada paso en la misma sesión de terminal.
1. Crea un directorio para tus investigaciones
mkdir Pegasus
cd Pegasus
2. Preparar la estructura del directorio
mkdir ioc backup decrypted checked
3. Recuperar IOC proporcionado por Amnistía Internacional
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2
4. Recuperar el Dockerfile
wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile
5. Crear la imagen de Docker
Dependiendo de su configuración, tendríamos que ser root desde este paso hasta el final de la investigación.
docker build -t mvt .
Preparar el dispositivo iOS para ser analizado
6. Conecta dispositivo iOS a su computadora
No lo desconectes hasta el final del procedimiento de copia de seguridad y asegúrese de mantener el dispositivo desbloqueado
7. Detener el mezclador USB
systemctl stop usbmuxd
Este comando puede tomar un poco de tiempo, simplemente espera.
8. Iniciar el contenedor Docker
docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \
-v $PWD/ioc:/home/cases/ioc \
-v $PWD/decrypted:/home/cases/decrypted \
-v $PWD/checked:/home/cases/checked \
-v $PWD/backup:/home/cases/backup \
mvt
Ahora cualquier comando que ejecute se ejecutará dentro del contenedor.
9. Iniciar el mezclador USB
usbmuxd
Es posible que el dispositivo iOS te pregunte si confía en la computadora conectada, confíe en ella.
10. Comprueba si se reconoce el iOS
ideviceinfo
Copia de seguridad del dispositivo iOS
11. Activar el cifrado de copia de seguridad
idevicebackup2 backup encryption on -i
12. Copia de seguridad del dispositivo iOS
idevicebackup2 backup --full backup/
Una vez hecho esto, puedes desconectar el dispositivo iOS. Ejecuta
ls -l backup
para obtener el nombre de la copia de seguridad.
Analizar la copia de seguridad
13. Descifrar la copia de seguridad
mvt-ios decrypt-backup -p <contraseña de respaldo> -d respaldo descifrado/<nombre de respaldo>
Para obtener más detalles y opciones, consulte la documentación de MVT y la nota sobre la contraseña de respaldo. Si ha realizado una copia de seguridad de este teléfono mediante iTunes, la contraseña de la copia de seguridad es la misma que proporcionó en iTunes.
14. Analizar la copia de seguridad
mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted
15. Comprobar los resultados
ls -l checked
La carpeta marcada contiene varios archivos JSON. Cualquier coincidencia de IOC se almacena en archivos JSON con el sufijo _detected.
16. Salir del contenedor
exit
17. Guardar los registros de salida
Si deseas conservar los archivos generados durante el procedimiento forense, haz una copia de seguridad de las siguientes carpetas:
- backup que contiene la copia de seguridad de iOS
- decrypted que contiene la copia de seguridad descifrada
- checked que contiene los resultados del análisis MVT
Las capacidades de Pegasus son muchas; es capaz de rastrear desde la ubicación de la víctima hasta sus mensajes privados, además de grabar conversaciones o detectar con qué usuarios ha interactuado la víctima. En un primer momento, Pegasus se expandía mediante mensajes de texto o correos electrónicos para que la víctima descargara el software mediante técnicas de ingeniería social.
Si temes que tu teléfono pueda estar infectado por Pegasus, la mejor estrategia es mantener al día tus dispositivos y apps y tenerlos actualizados frente a vulnerabilidades de sistema que puedan provocar agujeros de seguridad, para así resolverlos y evitarlos.
Fuentes:
https://sonique6784.medium.com/how-to-detect-spyware-pegasus-on-android-and-ios-68fb94f35657
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.