Video prezentacija

MVT (Mobile Verification Toolkit) je skup programa za forenzičku analizu mobilnih Android ili iOS uređaja. Cilj forenzičke analize jest otkrivanje zlonamjernih aplikacija ili sumnjivih tragova na uređaju. U opsegu forenzičke analize, ključne značajke koje nudi su parsiranje zapisa sustava, analiza aplikacija, generiranje zapisnika i usporedba s poznatim indikatorima kompromitiranosti uređaja.

Rad opisuje Cellebrite UFED i Autopsy alate, te ih uspoređuje s MVT-om. Ističe se moćan opseg forenzičke analize koju nudi MVT, kao i aspekt otvorenog koda, ali i nedostatci alata u pogledu potrebnog korisničkog znanja i razine pristupa koja se zahtjeva uređaju za efikasnu analizu.

Primjer korištenja MVT alata provodi se iz perspektive korisnika na macOS uređaju koji je odlučio analizirati kopiju podataka generiranu s iTunes aplikacijom. Korisnik kroz primjer instalira alat i potrebne ovisnosti alata, generira enkriptiranu kopiju sustava, koristi alat za analizu kopije, te naposljetku iskorištava alat za detekciju zlonamjernih indikatora, tako što uspoređuje rezultat analize kopije s javno dostupnim indikatorima kompromitiranosti.

Rad donosi zaključak da MVT predstavlja moćan alat za forenzičku analizu macOS i Android uređaja, ali istovremeno nije prikladan za korisnike koji nemaju potrebno znanje u području forenzičke analize. Kao nedostatak se također ističe potencijalni negativan utjecaj na uređaje nad kojima se vrši analiza, te nedostatak izvorne podrške alata za Windows operacijski sustav.

Razvoj mobilnih uređaja doveo je do potrebe za naprednim alatima za forenzičku analizu usmjerenim na mobilne operativne sustave. Mobile Verification Toolkit (MVT) je alat otvorenog koda predviđen za uporabu od strane znanstvenika i forenzičara. Alat podržava iOS i Android platforme čime pokriva većinu modernih mobilnih uređaja. Cilj ovog seminara je objasniti karakteristike MVT-a, tehničke mogućnosti, te prikazati kako se koristi u praksi.

MVT (Mobile Verification Toolkit) je skup programa razvijen od strane Amnesty International Security Lab-a, osmišljen za otkrivanje znakova zlouporabe sustava, poput špijunskog softvera Pegasusa. Alat omogućuje analizu sigurnosnih kopija mobilnih uređaja i prikupljanje podataka kao što su informacije o uređaju, zapisnika aktivnosti aplikacija i sustava, te popisa instaliranih aplikacija. Podaci se prikupljaju putem sigurnosne kopije uređaja, koja se potom izvozi na računalo za daljnju analizu.

Ključne značajke MVT-a:

1. Otkrivanje špijunskog softvera: specijaliziran za prepoznavanje špijunskih programa na Android uređajima
2. Analiza zlonamjernih aplikacija
3. Forenzička analiza

MVT je alat otvorenog koda, što znači da se može prilagoditi specifičnim potrebama kako bi se učinkovito detektirale prijetnje i osigurala sigurnost korisnika.

1. Dekriptiranje enkriptiranih iOS sigurnosnih kopija
2. Parsiranje zapisa iOS sustava: analiza logova sustava, baza podataka i analitičkih podataka
3. Prikazivanje informacija o instaliranim aplikacijama s Android uređaja
4. Prikupljanje dijagnostičkih podataka s pomoću ADB (Android Debug Bridge) protokola
5. Uspoređivanje zapisa s popisom zlonamjernih indikatora
6. Generiranje JSON logova
7. Stvaranje vremenske linija prikupljenih zapisa s otkrivenim zlonamjernim aktivnostima

Cellebrite UFED (Universal Forensic Extraction Device) jedan je od najpoznatijih i široko korištenih komercijalni alata u području digitalne forenzike. Koristi se za ekstrakciju i analizu podataka s raznih mobilnih uređaja. Primjenjiv je i na starije modele i GPS uređaje. Sadrži intuitivno korisničko sučelje te moćnu sposobnost ekstrakcije što ga čini preferiranim izborom za mnoge profesionalce.

Ključne značajke:

• Fizička ekstrakcija: dubinska ekstrakciju podataka
• Logička ekstrakcija: sveobuhvatan prikaz podataka uređaja bez promjene originalnog sadržaja
• Analitičke mogućnosti: napredna analiza i dekodiranje podataka

Autopsy je alat otvorenog koda namijenjen dubinskoj analizi digitalnih uređaja i datotečnih sustava. Iako je primarno razvijen za računalnu forenziku, sadrži modul za analizu Android uređaja koji radi s većinom novijih modela. Međutim, njegova primjena u mobilnoj forenzici je ograničena u usporedbi s alatima poput MVT-a ili Cellebrite UFED-a.

Ključne značajke:

• Široka primjena: analizu različitih digitalnih medija i datotečnih sustava, poput poruka kao na slici 1
• Modularni dizajn: proširenje funkcionalnosti putem dodataka
• Android Analyzer modul: osnovna podrška za analizu Android uređaja

Slika 1. Primjer analize poruka korištenjem alata Autopsy [5]

Iako alati poput Autopsy-a i Cellebrite-a nude različita rješenja za ekstrakciju i analizu podataka, MVT ostaje nezamjenjiv za korisnike koji traže besplatan, prilagodljiv alat otvorenog koda, s posebnim naglaskom na prepoznavanje špijunskog softvera.

• Besplatan alat otvorenog koda: omogućuje potpunu prilagodbu
• Specijaliziran za identifikaciju špijunskog softvera
• Podržava analizu najpopularnijih mobilnih operativnih sustava, iOS i Android uređaja

• Potrebno tehničko znanje za pravilnu implementaciju
• Ovisno o sepcifičnim potrebama
• Manji broj podržanih uređaja od komercijalnih alata

Korištenje alata prvenstveno zahtjeva da operacijski sustav sadrži instalaciju Pythona na verziji 3.6 i nadalje. Podržani su operacijski sustavi Linux i macOS; Windows operacijski sustav nije izvorno (no može biti pokrenut koristeći Windows Subsystem Linux (WSL) značajku).

Ovisno o operacijskom sustavu alat zahtijeva i dodatne ovisnosti koje moraju biti instalirane. U primjeru koji slijedu korisnik radi na macOS uređaju, stoga mora instalirati iduće knjižnice:

brew install python3 pipx libusb sqlite3

Korisnik nakon toga instalira MVT korištenjem prethodno instaliranog pipx alata:

pipx ensurepath 

bash pipx install mvt

Prije početka korištenja MVT alata za forenzičku analizu iOS uređaja, korisnik se mora odlučiti za jednu od dvije dostupne forenzičke metodologije:

1.Ispis cijelog datotečnog sustava (full filesystem dump)

• Zahtjeva jailbreak (uklanjanje ograničenja pristupanja datotekama sustava) uređaja
• Pruža mogućnost ekstrakcije podataka koji bi inače biti nedostupni
• Nije moguće jailbreakati sve verzije iOS sustava ili sve iPhone modele
• Mogućnost negativnog utjecaja na uređaj i sadržane datoteke
• Preporučeno kao posljednji izbor

2.iTunes kopija

• U novijim MacOS verzijama, Finder značajka se koristi umjesto iTunes za stvaranje kopije
• Generiranje kopije iTunes-a
• Pruža uvid u podskup podataka
• U mnogo slučajeva dovoljno za detekciju sumnjivih artefakata

U kontekstu ovog primjera korisnik odabire analizu iTunes kopije na iOS uređaju.

Korištenjem iTunes aplikacije korisnik može započeti stvaranje kopije, uz preporuku da izabere enkriptirani način jer on omogućuje uvid u dodatne podatke. Na slici 2 je prikazano sučelje iTunes aplikacije za primjerno stvaranje kopije.

Slika 2. iTunes sučelje za stvaranje kopije [1]

Nakon stvaranje kopije, korisnik treba premjestiti kopiju u direktorij u kojem ga MVT alat može analizirati. Na macOS, kopija se stvara na putanji ‘~/Library/Application Support/MobileSync/’.

Ako je kopija enkriptirana, korisnik tu kopiju treba dekriptirati prije analize. Primjerna naredba dekripcije, korištenjem mvt-ios-decryptr-backup naredbe:

MVT_IOS_BACKUP_PASSWORD="mypassword" mvt-ios decrypt-backup -d /putanja/do/dekripcije /putanja/do/kopije

Nakon dekripcije, kopija se analizira pomoću check-backup naredbe:

mvt-ios check-backup --output /putanja/do/rezultata/ /putanja/do/kopije/

Rezultat analize je niz JSON datoteka koji sadrže analizu pojedinih elemenata sustava. Primjer nekoliko rezultirajućih JSON datoteka su backup_info.json (podatci o uređaju), calls.json (podatci o pozivima), contacts.json (podatci o kontaktima), netusage.json (podatci o korištenju mobilnih podataka) itd.

Korisnik naposljetku treba usporediti rezultate analize kopije sa STIX (Structured Threat Information Expression) datotekama radi detekcije potencijalnih tragova kompromisa. STIX je jezik za razmjenu indikatora kibernetičkih prijetnji, stoga korisnik treba preuzeti .stix2 datoteke za koje želi napraviti usporedbu s javno dostupnih repozitorija. AmnestyTech Github repozitorij predstavlja jedan takav primjer poznatih repozitorija koji sadrži STIX indikatore, kao rezultat njihovih istraga.

Preuzete datoteke korisnik iskorištava za usporedbu s rezultatima analize kopije:

mvt-ios check-backup --iocs ~/ios/malware.stix2 --output /putanja/do/iphone/izlaza /putanja/do/rezultata

Rezultati usporedbe spremaju se u nove datoteke stvorene u direktorij predanom kao izlaz usporedbe. Na primjeru prethodno spomenute netusage.json datoteke iz rezultata analize kopije, u slučaju da alat pronađe podudarajuće sumnjive obrasce, oni se spremaju u rezultantnu netusage_detected.json datoteku.

Mobile Verification Toolkit (MVT) predstavlja moćan alat za forenzičku analizu Android i iOS uređaja, u cilju otkrivanja tragova malware-a i sumnjivih aktivnosti. Njegova fleksibilnost i mogućnost detaljne analize podataka sadržanih na uređaju omogućava korisnicima da efikasno istraže sumnjive aplikacije, procese i mrežne aktivnosti.

Mogućnost korištenja alata zajedno sa poznatim indikatorima kibernetičkih prijetnji poput STIX jezika nudi znalcima u području široku mogućnost primjene. Međutim, korištenje MVT-a zahtjeva određenu razinu domenskog znanja i u nekim slučajevima zahtjeva razinu pristupa koji može imati negativne utjecaje na zdravlje samog uređaja. Uz to, instalacija okruženja za korištenje samog alata nije trivijalno. Alat stoga nije primjeren za jednostavne forenzičke analize uređaja od strane korisnika koji nisu upoznati sa domenom forenzičke analize.

Alat ne podržava izvorni Windows operacijski sustav; ograničen je na korištenje u Linux/macOS okruženju ili zahtjeva instalaciju dodatnih značajki poput WSL-a.

Zaključno, Mobile Verification Toolkit je koristan alat u borbi protiv mobilnih kibernetičkih prijetnji, no njegova efikasnost ograničena je domenskim znanjem korisnika i omogućenom razinom pristupa podacima na uređaju.

[1] MVT Project Developers https://docs.mvt.re/en/latest/

[2] Amnesty International https://securitylab.amnesty.org/latest/2024/12/tech-guide-detecting-novispy-spyware-with-androidqf-and-the-mobile-verification-toolkit-mvt/

[3] European Data Protection Supervisor https://www.edps.europa.eu/system/files_en?file=2023-01/0219_2022-0615_017_redacted.pdf

[4] TrustRadius https://www.trustradius.com/products/mobile-verification-toolkit-mvt/competitors

[5] Sleuth Kit Labs https://sleuthkit.org/autopsy/docs/user-docs/4.5.0/android_analyzer_page.html#:~:text=The%20Android%20Analyzer%20module%20allows,not%20have%20a%20volume%20system.

[6] CCS Learning Academy https://www.ccslearningacademy.com/what-is-autopsy-in-cybersecurity/#:~:text=Answer%3A%20In%20cyber%20security%2C%20Autopsy,history%2C%20and%20file%20access%20logs.

[7] Bright Coding blog https://www.blog.brightcoding.dev/2023/10/01/optimizing-mobile-forensics-a-deep-dive-into-top-tools-elcomsoft-ios-forensic-toolkit-mobile-verification-toolkit-oxygen-forensic/#google_vignette

[8] MVT: a forensic review https://medium.com/@joycelynjoo/mvt-a-forensic-review-dfe1244a6044