Siber güvenlik araştırmacıları “hafif bir yöntem” belirlediler. iKapatma NSO Group’un Pegasus’u, QuaDream’in Reign’ı ve Intellexa’nın Predator’ı gibi kötü şöhretli tehditler de dahil olmak üzere Apple iOS cihazlarındaki casus yazılım işaretlerini güvenilir bir şekilde tanımlamak için.
Pegasus’un ele geçirdiği bir dizi iPhone’u analiz eden Kaspersky, enfeksiyonların tüm iOS cihazlarda bulunan ve her yeniden başlatma olayını ortamıyla birlikte kaydeden metin tabanlı bir sistem günlük dosyası olan “Shutdown.log” adlı bir dosyada iz bıraktığını söyledi. özellikleri.
Güvenlik araştırmacısı Maher Yamout, “Adli cihaz görüntüleme veya tam iOS yedeklemesi gibi daha fazla zaman alan edinme yöntemleriyle karşılaştırıldığında Shutdown.log dosyasının alınması oldukça basittir” dedi. “Günlük dosyası bir sysdiagnose (sysdiag) arşivinde saklanır.”
Rus siber güvenlik firması, günlük dosyasında, casus yazılımla ilişkili olanlar gibi “yapışkan” süreçlerin yeniden başlatma gecikmesine neden olduğu örnekleri kaydeden girişler tespit ettiğini ve bazı durumlarda Pegasus ile ilgili süreçleri dörtten fazla yeniden başlatma gecikmesi bildiriminde gözlemlediğini söyledi.
Dahası, soruşturma üç casus yazılım ailesi tarafından da kullanılan benzer bir dosya sistemi yolunun varlığını ortaya çıkardı: Pegasus ve Reign için “/private/var/db/” ve Predator için “/private/var/tmp/”. dolayısıyla uzlaşmanın bir göstergesi olarak hareket ediyor.
Bununla birlikte, bu yaklaşımın başarısı, hedef kullanıcının cihazını mümkün olduğunca sık yeniden başlatması uyarısına dayanıyor; bu sıklığın tehdit profiline göre değişmesi gerekiyor.
Kaspersky ayrıca yeniden başlatma istatistiklerini çıkarmak amacıyla Shutdown.log dosyasını ayıklamak, analiz etmek ve ayrıştırmak için bir Python komut dosyası koleksiyonu da yayınladı.
Yamout, “Bu yöntemin hafif yapısı, onu kolaylıkla kullanılabilir ve erişilebilir kılıyor.” dedi. “Ayrıca, bu günlük dosyası, girişleri birkaç yıl boyunca saklayabilir, bu da onu anormal günlük girişlerini analiz etmek ve tanımlamak için değerli bir adli yapı haline getirir.”
Açıklama, SentinelOne’ın KeySteal, Atomic ve JaskaGo (diğer adıyla CherryPie veya Gary Stealer) gibi macOS’u hedef alan bilgi hırsızlarının, Apple’ın XProtect adlı yerleşik antivirüs teknolojisini atlatmaya hızla uyum sağladığını ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı Phil Stokes, “Apple’ın XProtect imza veri tabanını güncelleme yönündeki güçlü çabalarına rağmen, hızla gelişen bu kötü amaçlı yazılım türleri atlatmaya devam ediyor” dedi. “Tehdit aktörlerinin hızlı bir şekilde uyum sağlama araçları ve motivasyonları olduğundan, yalnızca imzaya dayalı tespite güvenmek yeterli değildir.”