В первой публикации о вредоносной кампании «Операция Триангуляция» мы привели подробную инструкцию для самостоятельной проверки устройств на следы компрометации с помощью MVT.
Такая проверка включает ручной поиск индикаторов и достаточно трудоемка, поэтому мы разработали специальную утилиту triangle_check для автоматического поиска следов заражения. Для проверки с помощью этой утилиты на ОС Windows и Linux достаточно скачать , а на macOS е можно установить как .
1. Подключите устройство к компьютеру и при необходимости подтвердите доверие.
2. Ваше устройство должно отображаться в левой панели Finder. Выберите его и нажмите «Создать резервную копию сейчас».
3. Созданная резервная копия будет храниться в директории ~/Library/Application Support/MobileSync/Backup/.
После установки библиотеки и подключения устройства к компьютеру резервную копию можно создать командой:
idevicebackup2 backup --full <директория, в которую будет сохранена копия>.
При этом может понадобиться несколько раз ввести на устройстве код-пароль.
После того как резервная копия исследуемого устройства была успешно создана при помощи одного из методов, описанных выше, необходимо установить и запустить нашу утилиту triangle_check.
Windows
Утилита выводит результат «DETECTED«, когда обнаруживает конкретные индикаторы компрометации. Это означает, что устройство заражено.
Также она может вывести результат «SUSPICION«, означающий обнаружение совокупности менее однозначных индикаторов, указывающих на заражение.
Наконец, если отображается сообщение «No traces of compromise were identified«, то утилита не нашла следов заражения Operation Triangulation.
Такая проверка включает ручной поиск индикаторов и достаточно трудоемка, поэтому мы разработали специальную утилиту triangle_check для автоматического поиска следов заражения. Для проверки с помощью этой утилиты на ОС Windows и Linux достаточно скачать , а на macOS е можно установить как .
Как сделать резервную копию устройства?
Windows
На ОС Windows резервную копию проще всего сделать при помощи iTunes:- Подключите ваше устройство к компьютеру с установленным iTunes. Разблокируйте устройство и при необходимости подтвердите, что подключенному компьютеру можно доверять.
Окно подтверждения доверия компьютеру- Теперь ваше устройство должно отображаться в левой панели iTunes. Правой кнопкой мыши нажмите на имя устройства и выберите «Создать резервную копию».
- Созданная резервная копия будет храниться в директории %appdata%\Apple Computer\MobileSync\Backup.
macOS
На версиях macOS до 10.15 (Catalina) резервную копию можно сделать через iTunes. Процесс создания резервной копии такой же, как на ОС Windows. Начиная с macOS Catalina, резервную копию можно создать при помощи Finder.1. Подключите устройство к компьютеру и при необходимости подтвердите доверие.
2. Ваше устройство должно отображаться в левой панели Finder. Выберите его и нажмите «Создать резервную копию сейчас».
3. Созданная резервная копия будет храниться в директории ~/Library/Application Support/MobileSync/Backup/.
Linux
Для создания резервной копии на Linux необходимо установить библиотеку libimobiledevice. Чтобы делать резервные копии устройств с актуальными версиями iOS, необходимо скомпилировать данную библиотеку из (инструкции по сборке находятся в разделе Installation/Getting Started).После установки библиотеки и подключения устройства к компьютеру резервную копию можно создать командой:
idevicebackup2 backup --full <директория, в которую будет сохранена копия>.
При этом может понадобиться несколько раз ввести на устройстве код-пароль.
Использование утилиты triangle_check
После того как резервная копия исследуемого устройства была успешно создана при помощи одного из методов, описанных выше, необходимо установить и запустить нашу утилиту triangle_check.Python-пакет triangle_check
Универсальным методом для всех ОС является установка Python-пакета triangle_check, опубликованного в глобальном репозитории Python Package Index (PyPI) с помощью системы управления пакетами pip. Для этого требуется подключение к интернету и наличие утилиты pip ( ).- Установка пакета:
a. для установки из репозитория PyPI (рекомендованный метод):
python -m pip install triangle_check
b. для ручной сборки и установки из GitHub-репозитория:
git clone
cd triangle_check
python -m build
python -m pip install dist/triangle_check-1.0-py3-none-any.whl - Использование:
python -m triangle_check <путь до созданной резервной копии>
Примечание: при использовании пакета на macOS возможно появление ошибки «MobileSync: Operation not permitted». Это связано с тем, что у утилиты терминала нет доступа к папке, где хранится созданная резервная копия. Для этого следует предоставить Full Disk Access программе Terminal. .
Бинарные сборки
Для операционных систем Windows и Linux также можно использовать бинарные сборки утилиты triangle_check, опубликованные в GitHub-репозитории.Windows
- Скачать архив triangle_check_win.zip из последней опубликованной версии на GitHub и распаковать его.
- Запустить интерпретатор командной строки cmd.exe или PowerShell.
- Перейти в директорию, в которую был распакован архив. Например:
cd %userprofile%\Downloads\triangle_check_win - Вызвать бинарную утилиту triangle_check.exe. Например:
triangle_check.exe "%appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718"
- Скачать архив triangle_check_linux.zip из последней опубликованной версии на GitHub и распаковать его.
- Запустить терминал (командная строка).
- Перейти в директорию, в которую был распакован архив. Например:
cd ~/Downloads/triangle_check_linux - Установить разрешение на запуск файла:
chmod +x triangle_check - Вызвать бинарную утилиту triangle_check. Например:
./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718
Интерпретация результатов
Утилита выводит результат «DETECTED«, когда обнаруживает конкретные индикаторы компрометации. Это означает, что устройство заражено.Также она может вывести результат «SUSPICION«, означающий обнаружение совокупности менее однозначных индикаторов, указывающих на заражение.
Наконец, если отображается сообщение «No traces of compromise were identified«, то утилита не нашла следов заражения Operation Triangulation.
