# NSO Group Pegasus 포렌식 보고서

> Clean Markdown view of GeekNews topic #4675. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=4675](https://news.hada.io/topic?id=4675)
- GeekNews Markdown: [https://news.hada.io/topic/4675.md](https://news.hada.io/topic/4675.md)
- Type: news
- Author: [puilp0502](https://news.hada.io/@puilp0502)
- Published: 2021-07-23T10:53:32+09:00
- Updated: 2021-07-23T10:53:32+09:00
- Original source: [amnesty.org](https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/)
- Points: 8
- Comments: 1

## Topic Body

Amnesty International이 Pegasus가 민간인 사찰에 이용되었다는 사실을 공개하면서 같이 발간한 포렌식 레포트입니다.

Pegasus 스파이웨어가 어떤 식으로 iOS 디바이스에 침투하는지, 또 디바이스에 어떤 흔적을 남기는 지 등의 내용이 담겨있습니다.

보고서 말미에는 모바일 디바이스가 일련의 공격을 당했는지 검증하는 툴인 Mobile Verification Tool도 소개하고 있습니다.

1. Pegasus의 Network Injection을 통한 공격 흔적

2. BridgeHead(Pegasus의 페이로드 딜리버리 컴포넌트) 및 각종 Pegasus 관련 프로세스의 실행 기록

3. Photos 앱 익스플로잇 후 Pegasus 프로세스의 실행 기록(추정)

4. 2019년 광범위하게 사용되던 iMessage 제로 클릭 제로데이 익스플로잇의 흔적

5. 2020년 Apple Music을 통해 Pegasus를 배포한 흔적

6. Megalodon: 2019년에 발견된 것과 비슷한 iMessage 제로 클릭 제로데이 익스플로잇이 현재까지도 (2021/07) 사용 중

7. 침투 흔적을 가리려는 Pegasus의 시도들(과 그 흔적)

8. iOS 시스템 서비스 프로세스와 비슷한 이름을 가진 Pegasus 컴포넌트들

9. Pegasus 공격에 사용된 인프라들

## Comments



### Comment 5879

- Author: xguru
- Created: 2021-07-23T13:48:23+09:00
- Points: 1

https://github.com/mvt-project/mvt

글에서 소개된 Mobile Verification Tool