Kaspersky araştırmacıları, iOS cihazlarda oluşturulan bir günlük dosyasını analiz ederek NSO Group’un Pegasus’u, QuaDream’s Reign ve Intellexa’nın Predator’ı gibi gelişmiş iOS casus yazılımlarından bulaşma göstergelerini tespit etmek için hafif bir yöntem geliştirdi.
Shutdown.log’u analiz etme
Şirketin uzmanları, Pegasus enfeksiyonlarının herhangi bir mobil iOS cihazının sysdiagnose arşivinde saklanan Shutdown.log adlı beklenmedik sistem günlüğünde izler bıraktığını keşfetti. Bu arşiv, her yeniden başlatma oturumundan elde edilen bilgileri tutar; bu, Pegasus kötü amaçlı yazılımıyla ilişkili anormalliklerin, virüs bulaşmış bir kullanıcının cihazını yeniden başlatması durumunda günlükte görünür hale geldiği anlamına gelir.
Belirlenenler arasında, özellikle Pegasus’la bağlantılı olanlar olmak üzere yeniden başlatmaları engelleyen “yapışkan” süreçlerin yanı sıra siber güvenlik topluluğu gözlemleri yoluyla keşfedilen enfeksiyon izleri de vardı.
“Sysdiag dökümü analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı yapay yapılara dayanarak, minimal düzeyde müdahaleci ve kaynak açısından hafif olduğunu kanıtlıyor. Bu günlükteki bulaşma göstergesini alan ve Mobil Doğrulama Araç Seti’nin (MVT) diğer iOS yapılarını işlemesini kullanarak bulaşmayı doğrulayan bu günlük, artık iOS kötü amaçlı yazılım bulaşmasını araştırmaya yönelik bütünsel bir yaklaşımın parçası haline geliyor.” dedi Kaspersky’s Baş Güvenlik Araştırmacısı Maher Yamout. Küresel Araştırma ve Analiz Ekibi (GReAT).
“Bu davranışın analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını doğruladığımız için enfeksiyon analizini destekleyecek güvenilir bir adli eser olarak hizmet edeceğine inanıyoruz.”
Pegasus enfeksiyonlarında Shutdown.log’u inceleyen Kaspersky uzmanları, özellikle yaygın bir enfeksiyon yolu gözlemledi. “/özel/var/db/”, Reign ve Predator gibi diğer iOS kötü amaçlı yazılımlarının neden olduğu enfeksiyonlarda görülen yolları yansıtıyor. Şirketin araştırmacıları, bu günlük dosyasının, bu kötü amaçlı yazılım aileleriyle ilgili enfeksiyonları belirleme potansiyeli taşıdığını öne sürüyor.
Casus yazılım bulaşmalarının araştırılmasını kolaylaştırmak amacıyla Kaspersky uzmanları, kullanıcılar için bir kendi kendini kontrol etme yardımcı programı geliştirdi. Python3 komut dosyaları Shutdown.log yapısının çıkarılmasını, analizini ve ayrıştırılmasını kolaylaştırır. Araç GitHub’da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için mevcut.
iOS casus yazılım bulaşmasını önleme
Pegasus gibi iOS casus yazılımları oldukça karmaşıktır. Siber topluluk her zaman başarılı bir istismarı engelleyemese de kullanıcılar durumu saldırganlar için zorlaştıracak adımlar atabilir.
Kaspersky uzmanları, iOS’ta gelişmiş casus yazılımlara karşı korunmak için aşağıdakileri öneriyor:
- Her gün yeniden başlat: Uluslararası Af Örgütü ve Citizen Lab’ın araştırmasına göre Pegasus genellikle sıfır tıklamayla 0 gün boyunca hiçbir ısrarcılık göstermeden güveniyor. Düzenli günlük yeniden başlatmalar cihazın temizlenmesine yardımcı olabilir, bu da saldırganların tekrar tekrar virüs bulaştırmasını gerekli hale getirir ve böylece zaman içinde tespit edilme şansı artar.
- Kilitleme Modu: Apple’ın yeni eklenen kilitleme modunun iOS’a yönelik kötü amaçlı yazılım bulaşmasını engellemedeki başarısı hakkında birçok kamuya açık rapor var.
- iMessage ve Facetime’ı devre dışı bırakın: Varsayılan olarak etkin olan iMessage, çekici bir yararlanma vektörüdür. Bunu devre dışı bırakmak, sıfır tıklamalı zincirlerin kurbanı olma riskini azaltır. Aynı tavsiye, başka bir potansiyel istismar vektörü olan Facetime için de geçerlidir.
- Cihazı güncel tutun: Pek çok iOS yararlanma kiti zaten yama uygulanmış güvenlik açıklarını hedef aldığından, en yeni iOS yamalarını hemen yükleyin. Hızlı güncellemeler, gecikmiş güncellemelerden yararlanabilecek bazı ulus devlet saldırganlarının önünde kalmak için çok önemlidir.
- Bağlantılara dikkat edin: Pegasus müşterileri SMS, diğer mesajlaşma programları veya e-posta yoluyla tek tıklamayla gönderilen istismarlara başvurabileceğinden, mesajlarda alınan bağlantılara tıklamaktan kaçının.
- Yedeklemeleri ve sistem teşhislerini düzenli olarak kontrol edin: Şifrelenmiş yedeklemelerin ve Sysdiagnose arşivlerinin MVT ve Kaspersky araçlarını kullanarak işlenmesi, iOS kötü amaçlı yazılımlarının tespit edilmesine yardımcı olabilir.
Kullanıcılar bu uygulamaları rutinlerine dahil ederek gelişmiş iOS casus yazılımlarına karşı savunmalarını güçlendirebilir ve başarılı saldırı riskini azaltabilir.