1. Dator och IT
  2. IT-säkerhet

Hur installeras spionprogram som Pegasus i mobilen?

Svara
2022-05-02, 22:18
  #49
moshan
Medlem
moshans avatar
Kan man skydda sig om man har Norton Antivirus på telefonen?
Citera
2022-05-02, 22:20
  #50
Batmanbegins
Medlem
Citat:
Ursprungligen postat av moshan
Kan man skydda sig om man har Norton Antivirus på telefonen?
Nej. Appar är sandboxade på mobilen och kan således inte analysera de delar av systemet där Pegasus gömmer sig.

Ironiskt nog är det bästa du kan göra att starta om mobilen ofta. Mobiler med Verified Boot såsom Pixel och Iphone kommer då rensa viruset, och du måste då infekteras på nytt för att det ska komma tillbaka.
Citera
2022-05-02, 22:36
  #51
HaveFun
Medlem
HaveFuns avatar
Citat:
Ursprungligen postat av wuseman
Pegasus kan moddas hur mkt som helst så det är svårt att veta vilken version du har i åtanke.

Det händer hur mycket som helst. Vet inte hur jag skall förklara på ett sådant sätt om man inte vet exakt vad allting gör, men detta är några saker den gör (inte i ordning helt):

Den stänger auto uppdateringar.
Den kollar ifall om telefonen nyligen blivit jailbreakad.
Den lägger in en batteri monitoring
Den läser av sim och nätverks informationen.
Samtals information.
Den lägger även in så vi får simkort och nätverks notfikationerna

Hela tiden kollar den batteriets status mellan sakerna den utför så den vet när den skall utföra rätt uppgift innan batteriet dör.

Pegasus kan som jag vet kommunicera på 5 olika sätt via instruktioner från olika ställen, te.x "Google Reset Password"

You google verification code:is\nhttp://gmail.colm/......=api"

Laddade upp bild nedan, här är dom fem sätten som den kan förstå via inkommande sms. Då vet även pegasus när den skall utföra vissa uppgifter som att återigen hämta lösenorden osv osv.

https://imgur.com/a/qgfQ7dI

Pegasus kan även förstöra själv via en exploit.


Kod: 
/* Cydia Substrate - Powerful Code Insertion Platform
 * Copyright (C) 2008-2011  Jay Freeman (saurik)
*/

/* GNU Lesser General Public License, Version 3 {{{ */
/*
 * Substrate is free software: you can redistribute it and/or modify it under
 * the terms of the GNU Lesser General Public License as published by the
 * Free Software Foundation, either version 3 of the License, or (at your
 * option) any later version.
 *
 * Substrate is distributed in the hope that it will be useful, but WITHOUT
 * ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or
 * FITNESS FOR A PARTICULAR PURPOSE.  See the GNU Lesser General Public
 * License for more details.
 *
 * You should have received a copy of the GNU Lesser General Public License
 * along with Substrate.  If not, see <http://www.gnu.org/licenses/>.
**/
/* }}} */

#include "CydiaSubstrate.h"

#include <stdio.h>

int main(int argc, const char *argv[]) {
    if (argc != 3) {
        fprintf(stderr, "usage: %s <pid> <dylib>\n", argv[0]);
        return 1;
    }

    pid_t pid(strtoul(argv[1], NULL, 10));
    const char *library(argv[2]);

    if (!MSHookProcess(pid, library)) {
        fprintf(stderr, "MSHookProcess() failed.\n");
        return 1;
    }

    return 0;
}

Den dumpar data från telegram, skype db files osv. Telegram dumpades såhär:

Kod: 
if ( ((int (*) (void)sub_21E00 & 0xFF
    && SELECT first_name, last_name, phone_numbers FROM users_vXX WHERE uid = ?;")
{

Det är hur mycket som helst som sker, som sagt. Orkar inte ta upp mer just nu

Den får access genom att ta bort /etc/nfs.conf som triggar "/sbin/mount_nfs" som är det som pegasus använder som loader (det är ett annat steg i denna historia) för jailbreaket. Eftersom /sbin/mount_nfs ... ligger i sbin så kommer rtbuddyd binären att ersättas kan man säga, sshd bakdörren.

Mycket info:
https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

För att upptäcka Pegasus vet jag att pgcheck fanns men det är många årsen, jag vet inte om det är aktuellt fortfarande men om någon provar så berätta gärna, kan hämtas på nedanstående länk där finns det även en video för den som vill se:

https://github.com/z448/pgcheck
Mysigt, tack för ett utförligt svar.
Citera
2022-05-03, 04:25
  #52
wuseman
Bannlyst
Ytterliggare en Teknisk Analys för Pegasus:

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-android-technical-analysis.pdf

Pegassus samples från NSOGROUP

https://github.com/9aylas/Pegasus-samples

Samples for Families

https://samples.vx-underground.org/samples/Families/


Hämta rubbet snabbt via xargs i parallel:

Kod: 
curl -sL https://samples.vx-underground.org/samples/Families/ \ 
    |grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*" \
    |xargs -n1 -P30 wget

Hämta rubbet snabbt via GNU/Parallel så är du snäll mot servern och inte DOSar sönder den.

Kod: 
curl -sL https://samples.vx-underground.org/samples/Families/ \ 
    |grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"  > samples.txt

(bandwidth=5000 jobs=8; \
 parallel      \
   --round     \
   -P 50    \
   --nice +5   \
   --delay 2   \
   --pipepart  \
   --cat       \
   -a samples.txt \
     wget                                \
       --limit-rate=$((bandwidth/jobs))k \
       -w 1                              \
       -nv                               \
       -i {}                             \
)

Hämta rubbet med lftp, det hade jag gjort med 50 trådar åt gången, klona rubbet så får du allt:

Kod: 
mkdir -p ~/malware-samples-from-vx-underground
lftp -e open https://samples.vx-underground.org/ -e "mirror -c -P50 ~/malware-samples-from-vx-underground"

All credits till vx-underground!

Happy Training!
__________________
Senast redigerad av wuseman 2022-05-03 kl. 04:43.
Citera
2022-05-03, 04:41
  #53
PerTinent
Bannlyst
Citat:
Ursprungligen postat av wuseman
Kan bara svara på ena frågan, nej det stämer inte. VIll man veta hur det fungerar utan att kunna något men ändå nyfiken så ger manualen en väldigt bra inblick i det:

https://anonfiles.com/DcDcz4cby1/12324_pdf

Inget som är direkt avancerat, problemet är enkelt. Det är att OSX inte använder öppen källkod så ni får helt enkelt vänta på Apple. Det är annorlunda för oss som inte använder priopritär mjukvara för hela skiten är ett malware det har jag redan varit inne på - Det är annorlunda med öppen källkod, det hade aldrig fått den spridnig som det blev ifall om alla kunde hjälpa till, rätt enkelt att förstå?

Nåja, det är inget avancerat tycker jag, så är det. Sen vad som är avancerat beror ju på vem man frågar såklart, jag tycker allting är väldigt enkelt men jag använder bara telefonerna i cli också.

https://android.nr1.nu

Här kan den som vill se en teknisk analys kring malwaret:

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

Ända rekomendationen jag personligen kan ge är, sluta med att stödja priopritära licenser! Ju äldre och visar jag blir ju viktigare känner jag att det är att detta budskap verkligen kommer fram, men det verkar omöjligt för folk att förstå hur jävligt viktigt det är och hur stor skillnaden är. Men Pegasus är ett strålande exempel på vad som inte skulle blviit vad det bliev om det inte var Apple det handlade om, Malware företaget får malware och förlorarna är, användarna.

Proprietary Software Is Often Malware
Malware Appliances
Google Malware
Gentoo - License Grupper - Mer Info

Vi har värdelns bästa community och det finns inget annat ställe det är trevligare att hänga på, det är inte som övriga communitys som arch linux och sådanna ställen "RTFM!" och irc kanalerna är ganska tråkiga att hänga i när man inte blir bemött på ett bra sätt, men prova gärna och använd era pengar till annat än malware skaparna, ok? Det är tack vare er som licenserna kan existera.

Vi har 4st i våran Svenska gentoo kanal. Hur blev det så sjukt att alla stödjer malware och BETALAR SJUKA SUMMOR för det

Det som är det lustigaste är, det är sällan ni som tar fram källorna och berättar hur det ligger till. Det är vi!

Använd inte titeln hacker till sådanna som använder Pegasus, plz. Läs mer här, sprid gärna budskapet så det blir ordning och reda snart så gör ni alla oss en tjänst.

Hackers - Använd ordet rätt, det ni menar som hackers är egentligen breakers
Hackers Testifying at the United States Senate, May 19, 1998 (L0pht Heavy Industries)
Peter Zatko (Mudge)

Annorlunda bild på en av dom största som finns FÖR mig, bara Mudge som jag vet har haft kontakt med Hobbit och han kommer aldrig hitta trots jag försökt i 20 år. (netcat founder).

[If you are affiliated in any way with Microsoft Network, get a life. Always ski in control. Comments, questions, and patches to hobbit@avian.org. < länk till netecat readme.

Inse allvaret, det är NI som som använder malwaren, inte är det jag, det är NI! Den som säger något annat kommer ignoreras, det finns hur mycket bevis som helst. Ni är redan infekterade om ni har något av dessa saker?

Google till och med erkänner bakdörrar? Det är ju ingen hemlighet. Varför är så få som vet om det här? Läs runt vart som helst, foilk sitter fortfarande och argumenterar hur man inte blir spårad av google på sitt android system

Google confirms presence of Triada backdoor in cheap Android phones


Samsung har också sjuka bakdörrar, det är inte bara Apple . Remote öppet direkt för remote och hämta all er data?

According to one developer, Samsung has committed a big security error by letting its modem write to disk but Samsung says it's a "software feature" that poses no risk to users.

Happy Hacking!

Intressant.

Men du skriver ”priopritär” ett bar ggr. Vad är det?
Citera
2022-05-03, 04:45
  #54
wuseman
Bannlyst
Citat:
Ursprungligen postat av PerTinent
Intressant.

Men du skriver ”priopritär” ett bar ggr. Vad är det?

Ah, sorry är slarvig med stavningen och tänker inte på det är något jag skall bli bättre på, eller vill bli:

"Proprietär"

Kod: 
Adjektivet proprietär betecknar något som är en persons eller ett företags egendom[1], leverantörsspecifikt, privatägt, i enskild ägo [2] (till skillnad från egalitär, det vill säga allmän egendom). I äldre svenska betecknar substantivet proprietär en godsägare.

En proprietär programvara (eng. proprietary software) är ett datorprogram som är licensierat under upphovsrättsinnehavarens exklusiva juridiska rätt med avsikt att licenstagaren ges rätt att använda programvaran endast under vissa förutsättningar, och begränsad från andra användningsområden, såsom modifiering, delning, studier, kopiering eller reverse engineering.[3][4] 

Vanligtvis är källkoden i proprietära programvaror inte tillgänglig.

Därför blir det ett väldigt stort problem som få inte tar på det allvar som det bör tas. Hur skall antivirus företag kunna hjälpa användarna om dom inte kan eller får? Därför är frågan väldigt viktig, speciellt kring Pegasus och iOS.

Microsoft/Apple stänger ute alla, inte bara hackare utan även dom som vill hjälpa till att få stopp på skiten som sprids på nätet. (vilket är majoriteten)

Man får helt enkelt vänta på att dom gör jobben åt en, ingen annan kan göra det eller får (sen kanske någon gör det ändå men det räcker ju att man skruvar isär en apple så får anställda sparken)

Nu kan alla som vill studera samples på pegasus (tränings material) jag länkat ovanför och antivirus företagen kan jobba vidare för att säkra upp användarnas skydd för att stoppa så att inte samma sak kan ske igen, hackarna kan inte använda den metoden igen te.x och så får hackarna hitta ett nytt sätt och såhär fungerar det.

__________________
Senast redigerad av wuseman 2022-05-03 kl. 04:59.
Citera
2022-05-03, 04:54
  #55
PerTinent
Bannlyst
Citat:
Ursprungligen postat av wuseman
Ah, sorry är slarvig med stavningen och tänker inte på det är något jag skall bli bättre på, eller vill bli:

"Proprietär"


Ok, stava fel gör vi alla, ibland. Ser att jag själv lyckades skriva fel.

Men nåt du gärna får ändra på är ”ända”.

I min värld är det ett arsle, en bakdel.

Inte ”enda” som i ”Enda rekommendationen…” vilket jag tror att du egentligen avsåg.

Att skriva ”ända” istället för ”enda” är en styggelse. Värre än ”de” och ”dem”, om du frågar mig.

Annars var det en bra post!
Citera
2022-05-03, 04:58
  #56
wuseman
Bannlyst
Citat:
Ursprungligen postat av PerTinent
Ok, stava fel gör vi alla, ibland. Ser att jag själv lyckades skriva fel.

Men nåt du gärna får ändra på är ”ända”.

I min värld är det ett arsle, en bakdel.

Inte ”enda” som i ”Enda rekommendationen…” vilket jag tror att du egentligen avsåg.

Att skriva ”ända” istället för ”enda” är en styggelse. Värre än ”de” och ”dem”, om du frågar mig.

Annars var det en bra post!

Absolut. Tack för tipsen.

Jag förstår varför man vill tjäna pengar på det man skapar också men problemet är att dom inte berättar om sina bakdörrar, dom gör det utan användarens vetskap te.x och tills någon hittar bakdörren så är det ju dom som är dom är dom "onda" som man vill skydda sig ifrån? Det blir väldigt bakvänt allting när man skriver om det och det är få som vågar, hur säger man till ett företag om deras brister utan att man åker i fängelse? Hur säger man till en person man kanske ser lösenordet till i en dump och den inte kommer tro man är en stalker? Personen kommer eventuellt tro att det är du som berättat detta som är den som försöker hacka den varje gång det sker något "udda" och "misstänktsamt" på hens konto. Bättre att hålla käften har jag lärt mig med åren .

Det finns det tips och tricks till hur man skall vända sig till företag om man hittar brister. Men i regel är det livsfarligt för en som vill hjälpa till utan att bli hotad eller riskera något. Man får sköta det väldigt varsamt om man vågar att ens nämna det från första kontakt så att säga och prata med andra och läsa deras historier hur dom gjorde.

Vanligtvis brukar man säga att ju snabbare svar man får vid en kontakt ju större chans är det att att företaget vill inleda ett samarbete kring säkerhet men annars, får ni vänta på Apple och har eran tillit till dom, det är ju upp till var och en och bestämma det men man får ju vara medveten om vad som finns under huven, och det är det få som tydligen vågar förstå eller vill förstå eller jag vette fan? Bakdörrarna finns och många köper skiten så man vill ha malware och vara infekterad 24/7 antar jag av ett företag med tusentals anställda? Som att __alla__ människor är 100% pålitlig liksom?



https://www.hackingisnotacrime.org/
__________________
Senast redigerad av wuseman 2022-05-03 kl. 05:57.
Citera
2022-05-03, 07:33
  #57
daTkonshens
Medlem
Citat:
Ursprungligen postat av Manglad-Fitta
Jag har tillgång till Pegasus

Varför och hur skulle du ha tillgång till detta?
Citera
2022-05-03, 08:39
  #58
Batmanbegins
Medlem
Citat:
Ursprungligen postat av daTkonshens
Varför och hur skulle du ha tillgång till detta?
Det är bara att kolla på hans tidigare inlägg för att se att han påstår sig känna Einar Matsson, är anti-vaxx, tycker inte SD är extremt nog.

Man kan med säkerhet avskriva honom som ett troll.
Citera
2022-05-03, 13:04
  #59
Methos
Medlem
Citat:
Ursprungligen postat av byte-me
Dom flesta telefoner har basband och cpu i samma chip. det innebär att genom t.ex. type0 sms kan skadlig kod installeras och köras utan att användaren behöver göra något.

Här är ett inlägg från någon som har rätt så bra initialkoll på sakerna.

Till att börja med:
Pegasus och diverse derivat kring detta paket har sedan länge blivit patchat av Apple (nåja, till den utsträckning som myndigheterna tillåter), vilket gör att Trident, spear-phish inte fungera längre. Trident och Spear-phish utgick i första hand från olika felaktiga "casting" av datatyper som slukades av en viss sorts kodfunktion. Apple patchade denna sak så att Safari inte gick in i SWKRCE och deras kernel inte gick in i KSLR.

En mer djupgående förklaring av detta paket kan vi hitta på Blackhat EU 2016: https://www.youtube.com/watch?v=Y6e_ctKqSqM från de utvecklare som från början analyserade NSO-Pegasus.

Men bara för att Apple har varit snälla att säkra sin Safari betyder det inte att utvecklarna till dessa paket har misslyckats. Men hoten ni skriver om är inte här.

Hoten ligger i vad byte-me här ovan skriver. Ett intimt samarbete mellan CPU och SIM.
Alla som har skruvat med telekommunikation och basbandsenheter vet om att hoten för våra mobiler ligger här.
Som jag har skrivit förut i andra trådar går det enkelt att få in skadliga instruktioner i telefonen genom carrier massages, vilket är små instruktionspaket som operatörerna använder för att konfigurera basbandet. Detta ligger på SIM och på sub-kernel-nivå. Alla myndigheter som inte kan nå telefonen fysiskt använder operatören för att skicka instruktioner till telefonen att ladda ned tex. Pegasus utan att användaren vet om det. SIM kan inte hålla hela Pegasuspaketet, men däremot instruktionerna för nedladdning, installation etc.
Som bute-me skriver har anvandaren inte en chans eller en susning att förhindra detta utan att koppla ned carrien.

Detta förklarades redan på Defocon 21 2013: https://www.youtube.com/watch?v=31D94QOo2gY

Det här är inga nyheter. Folk tror att de är säkra bakom VPNs och hårda egengjorda ROMs och annat påhitt. Men mobilen är så säker som SIM är. Och SIM är så säker som din operatör gör den till. Får du ett gratis SIM av operatören ShittyTelecom på ett Blackhat-event, ja då vet du att du till 100% har en hackad telefon.

Sedan ska vi inte ens diskutera TPM och andra roliga chipsets som finns i telefonen som kan användas.
Citera
2022-05-03, 13:49
  #60
Goist1966
Medlem
Citat:
Ursprungligen postat av wuseman
Kan bara svara på ena frågan, nej det stämer inte. VIll man veta hur det fungerar utan att kunna något men ändå nyfiken så ger manualen en väldigt bra inblick i det:

https://anonfiles.com/DcDcz4cby1/12324_pdf

Inget som är direkt avancerat, problemet är enkelt. Det är att OSX inte använder öppen källkod så ni får helt enkelt vänta på Apple. Det är annorlunda för oss som inte använder priopritär mjukvara för hela skiten är ett malware det har jag redan varit inne på - Det är annorlunda med öppen källkod, det hade aldrig fått den spridnig som det blev ifall om alla kunde hjälpa till, rätt enkelt att förstå?

Nåja, det är inget avancerat tycker jag, så är det. Sen vad som är avancerat beror ju på vem man frågar såklart, jag tycker allting är väldigt enkelt men jag använder bara telefonerna i cli också.

https://android.nr1.nu

Här kan den som vill se en teknisk analys kring malwaret:

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

Ända rekomendationen jag personligen kan ge är, sluta med att stödja priopritära licenser! Ju äldre och visar jag blir ju viktigare känner jag att det är att detta budskap verkligen kommer fram, men det verkar omöjligt för folk att förstå hur jävligt viktigt det är och hur stor skillnaden är. Men Pegasus är ett strålande exempel på vad som inte skulle blviit vad det bliev om det inte var Apple det handlade om, Malware företaget får malware och förlorarna är, användarna.

Proprietary Software Is Often Malware
Malware Appliances
Google Malware
Gentoo - License Grupper - Mer Info

Vi har värdelns bästa community och det finns inget annat ställe det är trevligare att hänga på, det är inte som övriga communitys som arch linux och sådanna ställen "RTFM!" och irc kanalerna är ganska tråkiga att hänga i när man inte blir bemött på ett bra sätt, men prova gärna och använd era pengar till annat än malware skaparna, ok? Det är tack vare er som licenserna kan existera.

Vi har 4st i våran Svenska gentoo kanal. Hur blev det så sjukt att alla stödjer malware och BETALAR SJUKA SUMMOR för det

Det som är det lustigaste är, det är sällan ni som tar fram källorna och berättar hur det ligger till. Det är vi!

Använd inte titeln hacker till sådanna som använder Pegasus, plz. Läs mer här, sprid gärna budskapet så det blir ordning och reda snart så gör ni alla oss en tjänst.

Hackers - Använd ordet rätt, det ni menar som hackers är egentligen breakers
Hackers Testifying at the United States Senate, May 19, 1998 (L0pht Heavy Industries)
Peter Zatko (Mudge)

Annorlunda bild på en av dom största som finns FÖR mig, bara Mudge som jag vet har haft kontakt med Hobbit och han kommer aldrig hitta trots jag försökt i 20 år. (netcat founder).

[If you are affiliated in any way with Microsoft Network, get a life. Always ski in control. Comments, questions, and patches to hobbit@avian.org. < länk till netecat readme.

Inse allvaret, det är NI som som använder malwaren, inte är det jag, det är NI! Den som säger något annat kommer ignoreras, det finns hur mycket bevis som helst. Ni är redan infekterade om ni har något av dessa saker?

Google till och med erkänner bakdörrar? Det är ju ingen hemlighet. Varför är så få som vet om det här? Läs runt vart som helst, foilk sitter fortfarande och argumenterar hur man inte blir spårad av google på sitt android system

Google confirms presence of Triada backdoor in cheap Android phones


Samsung har också sjuka bakdörrar, det är inte bara Apple . Remote öppet direkt för remote och hämta all er data?

According to one developer, Samsung has committed a big security error by letting its modem write to disk but Samsung says it's a "software feature" that poses no risk to users.

Happy Hacking!
Öppen källkod kommer inte stoppa 0-days, det blir nog faktiskt enklare att hitta sårbarheter i mjukvaran när man inte behöver reverse engineer:a det och kan fritt titta igenom källkoden.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in