Mobile Verification Toolkit (MVT) es una colección de utilidades para simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso de los dispositivos Android e iOS.
Ha sido desarrollado y publicado por el Amnesty International Security Lab en julio de 2021 en el contexto del proyecto Pegasus junto con una metodología técnica forense y pruebas forenses.
Características
Algunas de las características clave de Mobile Verification Toolkit o MVT para nso group pegasus se enumeran a continuación:
- Descifrar las copias de seguridad cifradas de iOS.
- Procesar y analizar los registros del sistema iOS.
- Extraer aplicaciones instaladas de dispositivos Android.
- Extraer información de diagnóstico de los dispositivos Android a través del
protocolo adb
. - Comparar los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2.
- Generar registros JSON de los registros extraídos.
- Separar los registros JSON de todos los rastros maliciosos detectados.
- Generar una línea de tiempo cronológica unificada de los registros extraídos,
- Generar una línea de tiempo de todos los rastros maliciosos detectados.
- Código abierto
Instalación de MVT
MVT se puede instalar desde las fuentes o desde PyPi (necesitarás algunas dependencias):
pip3 install mvt
Instalación de dependencias en Linux:
sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
Instalación de dependencias en macOS:
Instalación de dependencias en Linux:
Instalación desde el código fuente:
git clone https://github.com/mvt-project/mvt.git
cd mvt
pip3 install .
Uso de MVT
MVT proporciona dos comandos mvt-ios
y mvt-android
.
Algunos ejemplos:
- Comprobar un volcado del sistema de archivos con mvt-ios
Cuando estés listo, puedes proceder a ejecutar mvt-ios
contra el volcado del sistema de archivos o el punto de montaje:
$ mvt-ios check-fs --help
Usage: mvt-ios check-fs [OPTIONS] DUMP_PATH
Extract artifacts from a full filesystem dump
Options:
-i, --iocs PATH Path to indicators file
-o, --output PATH Specify a path to a folder where you want to store JSON
results
-f, --fast Avoid running time/resource consuming features
-l, --list-modules Print list of available modules and exit
-m, --module TEXT Name of a single module you would like to run instead of
all
--help Show this message and exit.
A continuación se muestra un ejemplo de uso básico de check-fs
:
mvt-ios check-fs /path/to/filesystem/dump/ --output /path/to/output/
- Descarga de APKs desde un teléfono Android
MVT permite intentar descargar todos los paquetes instalados disponibles (APKs) con el fin de inspeccionarlos más a fondo y potencialmente identificar cualquiera que pueda ser de naturaleza maliciosa.
Puedes hacerlo lanzando el siguiente comando:
mvt-android download-apks --output /path/to/folder
Puede tardar varios minutos en completarse.
Consulta la documentación para aprender más sobre su uso.
mvt (este enlace se abre en una nueva ventana) por mvt-project (este enlace se abre en una nueva ventana)
MVT (Mobile Verification Toolkit) helps with conducting forensics of mobile devices in order to find signs of a potential compromise.