Istraživači kibernetičke sigurnosti identifikovali su “laki metod” nazvan iShutdown za pouzdano prepoznavanje znakova špijunskog softvera na Apple iOS uređajima, uključujući ozloglašene prijetnje poput Pegasus grupe NSO, Reign QuaDream-a i Predator Intellexa.
Kaspersky, koji je analizirao skup iPhonea koji su bili kompromitovani Pegasusom, rekao je da su infekcije ostavile tragove u datoteci pod nazivom “Shutdown.log”, tekstualnom fajlu sistemskog loga koji je dostupan na svim iOS uređajima i koji bilježi svaki događaj ponovnog pokretanja zajedno sa karakteristikama okruženja.
“U poređenju sa dugotrajnijim metodama akvizicije kao što su forenzičko snimanje uređaja ili potpuna rezervna kopija iOS-a, preuzimanje datoteke Shutdown.log je prilično jednostavno”, rekao je istraživač sigurnosti Maher Yamout. “Log fajl je pohranjen u sysdiagnose (sysdiag) arhivi.”
Ruska firma za kibernetičku sigurnost saopštila je da je identifikovala unose u log datoteci koji su zabilježili slučajeve u kojima su “sticky” procesi, poput onih povezanih sa špijunskim softverom, uzrokovali odlaganje ponovnog pokretanja, u nekim slučajevima posmatrajući procese povezane s Pegasusom u više od četiri obavijesti o kašnjenju ponovnog pokretanja.
Štaviše, istraga je otkrila prisustvo slične putanje fajl sistema koji koriste sve tri porodice špijunskog softvera – „/private/var/db/“ za Pegasus i Reign i „/private/var/tmp/“ za Predator – što djeluje kao pokazatelj kompromisa (IOC).
Međutim, uspjeh ovog pristupa zavisi o upozorenju da ciljni korisnik ponovo pokreće svoj uređaj što je češće moguće, čija učestalost varira ovisno o profilu prijetnje.
Kaspersky je takođe objavio kolekciju Python skripti za izdvajanje, analizu i raščlanjivanje Shutdown.log kako bi izvukao statistiku ponovnog pokretanja.
“Lagana priroda ove metode čini je lako dostupnom i pristupačnom”, rekao je Yamout. “Štaviše, ova log datoteka može čuvati unose nekoliko godina, što je čini vrijednim forenzičkim artefaktom za analizu i identifikaciju anomalnih log unosa.”
Otkriće dolazi kada je SentinelOne otkrio da se kradljivci informacija koji ciljaju na macOS kao što su KeySteal, Atomic i JaskaGo (aka CherryPie ili Gary Stealer) brzo prilagođavaju kako bi zaobišli ugrađenu Apple-ovu antivirusnu tehnologiju pod nazivom XProtect.
“Uprkos čvrstim naporima Applea da ažurira svoju XProtect bazu podataka potpisa, ovi brzo evoluirajući sojevi malvera je i dalje izbjegavaju”, rekao je istraživač sigurnosti Phil Stokes. “Oslanjanje isključivo na detekciju zasnovano na potpisima nije dovoljno jer hakeri imaju sredstva i motiv da se brzo prilagode.”
Izvor: The Hacker News