iOS 26 kullanıma sunulurken kritik bir adli zorluk ortaya çıktı: işletim sistemi artık her yeniden başlatmada otomatik olarak kapatma.log dosyasının üzerine yazıyor ve Pegasus ve Predator casus yazılım bulaşmalarına dair önemli kanıtları etkili bir şekilde siliyor.
Bu gelişme, adli tıp araştırmacıları ve cihazlarının ele geçirilip geçirilmediğini belirlemeye çalışan kullanıcılar için önemli bir engeli temsil ediyor; özellikle yöneticileri, ünlüleri ve sivil toplum figürlerini hedef alan karmaşık casus yazılım saldırılarının artan yaygınlığı göz önüne alındığında bu durum rahatsız edici.
Shutdown.log dosyası, ana akım güvenlik tartışmalarında büyük ölçüde gözden kaçırılmış olmasına rağmen, yaklaşık on yıl boyunca iOS kötü amaçlı yazılımlarının tespitinde paha biçilmez bir adli eser olarak hizmet etti.
Birleşik Günlükler bölümündeki (Sysdiagnose Klasörü → system_logs.logarchive → Ekstra → kapatma.log) Sysdiagnoses içinde saklanan bu dosya, cihazın kapanma sıraları sırasındaki önemli etkinlikleri belgelemiştir.
2021’de araştırmacılar, Pegasus casus yazılımının herkesçe bilinen sürümünün, kapatma.log dosyasında fark edilebilir izler bıraktığını ve güvenlik araştırmacılarına kritik bir güvenlik ihlali göstergesi sağladığını keşfetti.
Bu keşif, kapatma.log dosyasını sıradan bir sistem dosyasından güçlü bir tespit aracına dönüştürdü ve araştırmacıların virüslü cihazları makul bir güvenle tanımlamasına olanak sağladı.
Ancak Pegasus’un arkasındaki geliştiriciler (İsrailli gözetleme şirketi NSO Group) bu tespit yöntemini hızlı bir şekilde tanıdı ve ona uyum sağladı. 2022 yılına gelindiğinde NSO Group, daha sofistike kaçırma taktikleri uygulayarak ve yine de istemeden de olsa geride kanıt bırakarak yaklaşımını geliştirmişti.
Pegasus’un Gelişmiş Evrimi
Pegasus geliştiricilerinin kapatma.log tespitine verdiği yanıt, kötü amaçlı yazılım adli biliminin doğasında bulunan kedi-fare oyununu gösteriyor. Yalnızca bariz girişler bırakmak yerine, kapatma.log dosyasını tamamen silmeye başladılar.
Ancak bu silme girişimleri bile kendi adli imzalarını yarattı. Pegasus örneğinin kanıtıyla başlayan, görünüşte temiz bir kapatma.log, çelişkili bir şekilde, başlı başına bir uzlaşma göstergesi haline geldi.
Güvenlik araştırmacıları 2022 yılı boyunca bu davranışın çok sayıda örneğini belgeledi ve bu karmaşık tehdit aktörlerinin sürekli adaptasyonunu ortaya çıkardı.
2022’den sonra kanıtlar, Pegasus geliştiricilerinin daha da güçlü silme mekanizmaları uygulamaya koyduğunu ve muhtemelen cihaz kapatma prosedürlerini izleyerek varlıklarının kapatma.log’dan tamamen ortadan kaldırıldığını gösteriyor.
Araştırmacılar, Pegasus enfeksiyonlarına ilişkin diğer risk göstergelerinin yanı sıra aktif olarak güvenliği ihlal edildiği bilinen cihazların kapatma.log’unun tamamen temizlendiği örnekleri gözlemledi.
Bu model yeni bir adli hipoteze yol açtı: Kasıtlı olarak temizlenen bir kapatma.log dosyası, potansiyel olarak tehlikeye atılmış cihazları tanımlamak için değerli bir buluşsal yöntem olarak hizmet edebilir.
Pegasus 2022 örneklerinden özellikle dikkate değer bir gösterge ortaya çıktı: /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking kapatma.log içindeki girişler.
Bu IOC aynı zamanda NSO Grubunun operasyonel taktiklerinde kritik bir değişimi de ortaya çıkardı; kolayca tanımlanabilen benzer isimli süreçleri kullanmak yerine meşru sistem süreçleri gibi görünmeye başlamışlardı, bu da tespit çabalarını önemli ölçüde karmaşık hale getiriyordu.
Yırtıcı Hayvan Deseni İzliyor
İlk kez 2023’te gözlemlenen gelişmiş Predator casus yazılımı, Pegasus’un geçmişteki hatalarından ders almış gibi görünüyor.
Predator’ın kapatma.log dosyasını aktif olarak izlediğine ve daha önceki Pegasus örneklerine benzer davranış kalıpları gösterdiğine dair kanıtlar göz önüne alındığında, güvenlik araştırmacıları Predator’ın bu kritik adli eserde muhtemelen benzer izler bıraktığını değerlendiriyor.
Apple iOS 26, ister kasıtlı tasarımdan ister öngörülemeyen sonuçlardan olsun, kapatma.log işlemede önemli bir değişiklik getiriyor.
İşletim sistemi artık önceki anlık görüntüleri korurken yeni girişler eklemek yerine, her cihaz yeniden başlatıldığında kapatma.log dosyasının üzerine yazıyor.
iOS 26’ya güncelleme yapan ve daha sonra cihazını yeniden başlatan herhangi bir kullanıcı, kapatma.log dosyasında mevcut olabilecek eski Pegasus ve Predator tespitlerine ilişkin tüm geçmiş kanıtları yanlışlıkla silecektir.
Bu otomatik üzerine yazma, sistem hijyeni veya performans optimizasyonuna ilişkin kasıtlı bir tasarım kararını yansıtsa da, bu karmaşık tehditlerin tanımlanmasında etkili olduğu kanıtlanmış hassas adli yapıyı etkili bir şekilde arındırır.
Casus yazılım saldırıları güvenlik manşetlerine hakim olduğunda ve sadece sivil toplum değil, yüksek profilli hedefler de benzeri görülmemiş tehdit seviyeleriyle karşı karşıya kaldığında, zamanlama bundan daha kötü olamaz.
İOS 18 veya daha önceki sürümleri çalıştıran cihazlar için araştırmacılar daha kapsamlı bir tespit yaklaşımı kullanabilir. Containermanagerd günlük girişlerini kapatma.log olaylarıyla ilişkilendirmek, cihaz güvenliğinin ihlal edilmesine ilişkin daha derin bilgiler sağlar.
Containermanagerd günlükleri, önyükleme olayı verilerini birkaç hafta boyunca saklayarak araştırmacıların şüpheli tutarsızlıkları belirlemesine olanak tanır.
Örneğin, kapatma.log girişlerinden önceki çok sayıda önyükleme olayı, gizli kötü amaçlı etkinlikleri gösterebilir; bu da, tehdit aktörlerinin standart adli tıp incelemesinden aktif olarak gizlendiği cihaz güvenliğini ihlal ettiğini düşündürür.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.