iOS ekosisteminin doğası gereği, iOS cihazlarda kötü amaçlı yazılım avlamak son derece zor olmuştur.
iOS cihazlarda adli soruşturma yürütmenin yalnızca iki yöntemi vardı: ya şifrelenmiş tam iOS yedeklemesini incelemek ya da şüpheli cihazın ağ trafiğini analiz etmek.
Ancak her iki yöntem de çok zaman ve para gerektirir ve oldukça karmaşıktır. Sonuç olarak, birçok tehdit tespit edilemeyebilir.
Ayrıca, genel güvenlik kontrolleri kapsamında bazı iPhone cihazları incelendi ve Pegasus zararlı yazılımının izlerine rastlandı.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Algılamaya genel bakış – Shutdown.log
Cyber Security News ile paylaşılan raporlara göre Shutdown.log, iOS cihazlarda her yeniden başlatma olayını günlüğe kaydeden metin tabanlı bir günlük dosyası. Bu dosya, birkaç yıl öncesine dayanan ve birçok bilgi sağlayan birden fazla ortam özelliğinden oluşur.
Etkilenen telefonların analizi sırasında MVT aracı, araştırılabilecek diğer adli eserlerin yanı sıra DataUsage veritabanını ayrıştırarak kötü amaçlı yazılımı tespit etti.
Bir inceleme aracı olarak, başlangıçta etkili bir yöntem olan ancak çok fazla uzmanlık ve kaynak gerektiren ağ trafiği analizi önerildi.
Ancak daha sonra bunun yerini, sistem tabanlı yapıtlar kullanarak iPhone enfeksiyonlarını araştırmak için minimal düzeyde müdahaleci ve kaynak açısından hafif bir yöntem olan Sysdiag döküm analizi aldı. Shutdown.log dosyası daha ayrıntılı araştırıldığında üç kötü amaçlı yazılım ailesi tespit edildi: Reign, Pegasus ve Predator.
Shutdown.log dosyasına göre bu kötü amaçlı yazılım ailelerinin tümü benzer bir dosya sistemi yolu kullanıyordu; bu, iOS cihazlarda kötü amaçlı yazılımları tespit etmenin en kısa yöntemlerinden biri olduğunu kanıtladı.
Bununla birlikte, Shutdown.log dosyasıyla tespit yapmanın, etkilenen cihazların çok sayıda yeniden başlatılmasını gerektirmesi nedeniyle bir dezavantajı vardır. Bu süreci kolaylaştırmanın bir yolu olarak, iShutdown komut dosyaları olarak kategorize edilen birkaç Python komut dosyası oluşturuldu.
Senaryo Analizi
Shutdown.log yapısının çıkarılmasına, analizine ve ayrıştırılmasına yardımcı olmak için “iShutdown_detect”, “iShutdown_parse” ve “iShutdown_stats” gibi üç komut dosyası sağlandı. Bu komut dosyalarını kullanmak için kullanıcının bir sysdiag dökümü oluşturması ve arşivi analiz makinesine çıkarması gerekir.
iShutdown_detect
Bu komut dosyası, Shutdown.log dosyasındaki anormallikleri tespit etmek, günlük dosyasını analiz etmek ve tespit edilirse anormalliklerden herhangi birini görüntülemek için kullanılır.
iShutdown_parse
Bu komut dosyası, argüman olarak bir sysdiag arşivini alır ve günlük dosyalarını paylaşmak ve bunları farklı amaçlarla ayrıştırmak isteyen analistler ve kullanıcılar tarafından kullanılabilecek Shutdown.log dosyasını buradan çıkarır. Ek olarak, bu komut dosyası aynı zamanda şunları da yapabilir:
- verileri CSV dosyasına dönüştürme
- zaman damgalarının kodunu çözme ve
- Kaynak sysdiag ve çıkarılan Shutdown.log karmaları da dahil olmak üzere ayrıştırmanın bir özetini oluşturun.
iShutdown_stats
Bu dosya, önceki komut dosyasında olduğu gibi sysdiag arşivini argüman olarak almaz ve kullanıcının telefonu ne sıklıkta veya ne zaman yeniden başlattığını anlamak için kullanılabilir. Üstelik bu script aynı zamanda log dosyasının çıkarıldığını da dikkate alır.
iOS cihazlarda adli araştırmalar için kullanılabilecek komut dosyalarının bulunduğu bir GitHub deposu da yayınlandı.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.