Исследователи кибербезопасности определили "облегченный метод" под названием iShutdown для надежного выявления признаков шпионского ПО на устройствах Apple iOS, включая известные угрозы, такие как Pegasus от NSO Group, Reign от QuaDream и Predator от Intellexa.
Компания Kaspersky, проанализировавшая ряд iPhone, которые были скомпрометированы с помощью Pegasus, заявила, что заражения оставили следы в файле с именем "Shutdown.log", текстовом файле системного журнала, доступном на всех устройствах iOS и в котором записывается каждое событие перезагрузки вместе с характеристиками среды.
"По сравнению с более трудоемкими методами сбора данных, такими как криминалистическая проверка устройства или полная резервная копия iOS, получить файл Shutdown.log довольно просто", - сказал исследователь безопасности Махер Ямут. "Файл журнала хранится в архиве sysdiag".
Российская компания по кибербезопасности заявила, что обнаружила записи в файле журнала, в которых зафиксированы случаи, когда "липкие" процессы, такие как те, которые связаны со шпионским ПО, вызывали задержку перезагрузки, в некоторых случаях процессы, связанные с Pegasus, были обнаружены более чем в четырех уведомлениях о задержке перезагрузки.
Более того, расследование выявило наличие аналогичного пути к файловой системе, который используется всеми тремя семействами шпионских программ – "/ private / var / db /" для Pegasus и Reign и " / private / var / tmp /" для Predator, что является индикатором компрометации.
Тем не менее, успех этого подхода зависит от того, что целевой пользователь перезагружает свое устройство как можно чаще, частота которых варьируется в зависимости от профиля угрозы.
Kaspersky также опубликовал набор скриптов Python для извлечения, анализа и разбора Shutdown.log, чтобы извлечь статистику перезагрузки.
"Легкий характер этого метода делает его легкодоступным", - сказал Ямут. "Более того, этот файл журнала может хранить записи в течение нескольких лет, что делает его ценным криминалистическим артефактом для анализа и идентификации аномальных записей журнала".
Раскрытие происходит после того, как SentinelOne обнаружила, что программы-похитители информации, нацеленные на macOS, такие как KeySteal, Atomic и JaskaGo (также известные как CherryPie или Gary Stealer), быстро адаптируются для обхода встроенной антивирусной технологии Apple под названием XProtect.
"Несмотря на активные усилия Apple по обновлению базы сигнатур XProtect, эти быстро развивающиеся разновидности вредоносных программ продолжают ускользать", - сказал исследователь безопасности Фил Стоукс. "Полагаться исключительно на обнаружение на основе сигнатур недостаточно, поскольку у участников угрозы есть средства и мотив для быстрой адаптации".
Компания Kaspersky, проанализировавшая ряд iPhone, которые были скомпрометированы с помощью Pegasus, заявила, что заражения оставили следы в файле с именем "Shutdown.log", текстовом файле системного журнала, доступном на всех устройствах iOS и в котором записывается каждое событие перезагрузки вместе с характеристиками среды.
"По сравнению с более трудоемкими методами сбора данных, такими как криминалистическая проверка устройства или полная резервная копия iOS, получить файл Shutdown.log довольно просто", - сказал исследователь безопасности Махер Ямут. "Файл журнала хранится в архиве sysdiag".
Российская компания по кибербезопасности заявила, что обнаружила записи в файле журнала, в которых зафиксированы случаи, когда "липкие" процессы, такие как те, которые связаны со шпионским ПО, вызывали задержку перезагрузки, в некоторых случаях процессы, связанные с Pegasus, были обнаружены более чем в четырех уведомлениях о задержке перезагрузки.
Более того, расследование выявило наличие аналогичного пути к файловой системе, который используется всеми тремя семействами шпионских программ – "/ private / var / db /" для Pegasus и Reign и " / private / var / tmp /" для Predator, что является индикатором компрометации.
Тем не менее, успех этого подхода зависит от того, что целевой пользователь перезагружает свое устройство как можно чаще, частота которых варьируется в зависимости от профиля угрозы.
Kaspersky также опубликовал набор скриптов Python для извлечения, анализа и разбора Shutdown.log, чтобы извлечь статистику перезагрузки.
"Легкий характер этого метода делает его легкодоступным", - сказал Ямут. "Более того, этот файл журнала может хранить записи в течение нескольких лет, что делает его ценным криминалистическим артефактом для анализа и идентификации аномальных записей журнала".
Раскрытие происходит после того, как SentinelOne обнаружила, что программы-похитители информации, нацеленные на macOS, такие как KeySteal, Atomic и JaskaGo (также известные как CherryPie или Gary Stealer), быстро адаптируются для обхода встроенной антивирусной технологии Apple под названием XProtect.
"Несмотря на активные усилия Apple по обновлению базы сигнатур XProtect, эти быстро развивающиеся разновидности вредоносных программ продолжают ускользать", - сказал исследователь безопасности Фил Стоукс. "Полагаться исключительно на обнаружение на основе сигнатур недостаточно, поскольку у участников угрозы есть средства и мотив для быстрой адаптации".
