Статья Найти «Триангуляцию»: утилита triangle_check

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
В первой публикации о вредоносной кампании «Операция Триангуляция» мы привели подробную инструкцию для самостоятельной проверки устройств на следы компрометации с помощью MVT.


Такая проверка включает ручной поиск индикаторов и достаточно трудоемка, поэтому мы разработали специальную утилиту triangle_check для автоматического поиска следов заражения. Для проверки с помощью этой утилиты на ОС Windows и Linux достаточно скачать , а на macOS е можно установить как .


triangle_check_featured-1200x600.jpg



▶️ Как сделать резервную копию устройства?​

Windows​

На ОС Windows резервную копию проще всего сделать при помощи iTunes:
  1. Подключите ваше устройство к компьютеру с установленным iTunes. Разблокируйте устройство и при необходимости подтвердите, что подключенному компьютеру можно доверять.


  2. Окно подтверждения доверия компьютеру
  3. Теперь ваше устройство должно отображаться в левой панели iTunes. Правой кнопкой мыши нажмите на имя устройства и выберите «Создать резервную копию».
  4. Созданная резервная копия будет храниться в директории %appdata%\Apple Computer\MobileSync\Backup.

macOS​

На версиях macOS до 10.15 (Catalina) резервную копию можно сделать через iTunes. Процесс создания резервной копии такой же, как на ОС Windows. Начиная с macOS Catalina, резервную копию можно создать при помощи Finder.
1. Подключите устройство к компьютеру и при необходимости подтвердите доверие.
2. Ваше устройство должно отображаться в левой панели Finder. Выберите его и нажмите «Создать резервную копию сейчас».
3. Созданная резервная копия будет храниться в директории ~/Library/Application Support/MobileSync/Backup/.

Linux​

Для создания резервной копии на Linux необходимо установить библиотеку libimobiledevice. Чтобы делать резервные копии устройств с актуальными версиями iOS, необходимо скомпилировать данную библиотеку из (инструкции по сборке находятся в разделе Installation/Getting Started).
После установки библиотеки и подключения устройства к компьютеру резервную копию можно создать командой:
idevicebackup2 backup --full <директория, в которую будет сохранена копия>.
При этом может понадобиться несколько раз ввести на устройстве код-пароль.

➡️ Использование утилиты triangle_check​

После того как резервная копия исследуемого устройства была успешно создана при помощи одного из методов, описанных выше, необходимо установить и запустить нашу утилиту triangle_check.

Python-пакет triangle_check​

Универсальным методом для всех ОС является установка Python-пакета triangle_check, опубликованного в глобальном репозитории Python Package Index (PyPI) с помощью системы управления пакетами pip. Для этого требуется подключение к интернету и наличие утилиты pip ( ).
  1. Установка пакета:
    a. для установки из репозитория PyPI (рекомендованный метод):
    python -m pip install triangle_check
    b. для ручной сборки и установки из GitHub-репозитория:
    git clone
    cd triangle_check
    python -m build
    python -m pip install dist/triangle_check-1.0-py3-none-any.whl
  2. Использование:
    python -m triangle_check <путь до созданной резервной копии>
    Примечание: при использовании пакета на macOS возможно появление ошибки «MobileSync: Operation not permitted». Это связано с тем, что у утилиты терминала нет доступа к папке, где хранится созданная резервная копия. Для этого следует предоставить Full Disk Access программе Terminal. .

Бинарные сборки​

Для операционных систем Windows и Linux также можно использовать бинарные сборки утилиты triangle_check, опубликованные в GitHub-репозитории.
Windows
  1. Скачать архив triangle_check_win.zip из последней опубликованной версии на GitHub и распаковать его.
  2. Запустить интерпретатор командной строки cmd.exe или PowerShell.
  3. Перейти в директорию, в которую был распакован архив. Например:
    cd %userprofile%\Downloads\triangle_check_win
  4. Вызвать бинарную утилиту triangle_check.exe. Например:
    triangle_check.exe "%appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718"
Linux
  1. Скачать архив triangle_check_linux.zip из последней опубликованной версии на GitHub и распаковать его.
  2. Запустить терминал (командная строка).
  3. Перейти в директорию, в которую был распакован архив. Например:
    cd ~/Downloads/triangle_check_linux
  4. Установить разрешение на запуск файла:
    chmod +x triangle_check
  5. Вызвать бинарную утилиту triangle_check. Например:
    ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718

➡️ Интерпретация результатов​

Утилита выводит результат «DETECTED«, когда обнаруживает конкретные индикаторы компрометации. Это означает, что устройство заражено.
Также она может вывести результат «SUSPICION«, означающий обнаружение совокупности менее однозначных индикаторов, указывающих на заражение.
Наконец, если отображается сообщение «No traces of compromise were identified«, то утилита не нашла следов заражения Operation Triangulation.

 
  • Теги
    itunes linux macos window
  • Сверху Снизу