扫描iTunes备份以查找三角渗透的痕迹

作者：Sec-Labs | 发布时间：2023-06-02 23:30:19

项目地址

https://github.com/KasperskyLab/triangle_check

Triangle Check：扫描iTunes备份以查找三角渗透的痕迹

该脚本允许扫描iTunes备份，以查找三角渗透的威胁指标。

有关更多信息，请阅读Securelist。

联系方式：triangulation@kaspersky.com

先决条件

该脚本依赖于：colorama（用于漂亮的打印），pycryptodome

安装

triangle_check实用程序可以从PyPI（推荐）安装：

python -m pip install triangle_check

该脚本可以直接运行（需要子目录_triangle_check_）：

python -m pip install -r requirements.txt
python triangle_check.py

它也可以打包成pip包：

git clone https://github.com/KasperskyLab/triangle_check
cd triangle_check
python -m build
python -m pip install dist/triangle_check-1.0-py3-none-any.whl

对于Windows或Linux，还可以使用三角形检查实用程序的二进制构建。

用法

Usage: python -m triangle_check /path/to/iTunes_backup [backup_password]

iTunes备份位置

找到由iTunes创建的备份目录。确切的位置取决于操作系统，并在此处进行了描述。您正在寻找的目录应包含许多子目录，并且应包括“Manifest.db”、“Manifest.plist”。如果在iTunes中设置了备份密码，则备份可能已加密。需要该密码才能解密受密码保护的备份。

高级：使用libimobiledevice创建备份

您可以使用名为libimobiledevice的开源软件包的一部分工具_idevicebackup2_。流行的Linux发行版、macports和homebrew允许直接安装它，该软件包可以在Linux或OSX上从源代码构建。

扫描备份

对备份目录运行该工具。如果有任何可疑活动的痕迹，该脚本将打印出带有更多信息和检测到的IOCs的_SUSPICION_或_DETECTED_行，这意味着该设备_很可能_被攻击了。

示例输出：

==== IDENTIFIED TRACES OF COMPROMISE (Operation Triangulation) ====
2022-*-* SUSPICION Suspicious combination of events: 
 * file modification: Library/SMS/Attachments/ab/11
 * file attribute change: Library/SMS/Attachments/ab/11
 * location service stopped: com.apple.locationd.bundle-/System/Library/LocationBundles/WRMLinkSelection.bundle
 * file modification: Library/Preferences/com.apple.ImageIO.plist
 * file attribute change: Library/Preferences/com.apple.ImageIO.plist
 * file birth: Library/Preferences/com.apple.ImageIO.plist
 * file modification: Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
 * file attribute change: Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
 * file birth: Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
2022-*-* DETECTED Exact match by NetUsage : BackupAgent
2022-*-* DETECTED Exact match by NetTimestamp : BackupAgent

下一步是什么？

对于Triangle Check的研究仍在进行中。有关更多更新，请查看Securelist。

标签：工具分享, macos安全