More

    Nova metoda iShutdown otkriva skriveni spyware kao što je Pegasus na vašem iPhoneu

    Istraživači kibernetičke sigurnosti identifikovali su “laki metod” nazvan iShutdown za pouzdano prepoznavanje znakova špijunskog softvera na Apple iOS uređajima, uključujući ozloglašene prijetnje poput Pegasus grupe NSO, Reign QuaDream-a i Predator Intellexa.

    Kaspersky, koji je analizirao skup iPhonea koji su bili kompromitovani Pegasusom, rekao je da su infekcije ostavile tragove u datoteci pod nazivom “Shutdown.log”, tekstualnom fajlu sistemskog loga koji je dostupan na svim iOS uređajima i koji bilježi svaki događaj ponovnog pokretanja zajedno sa karakteristikama okruženja.

    “U poređenju sa dugotrajnijim metodama akvizicije kao što su forenzičko snimanje uređaja ili potpuna rezervna kopija iOS-a, preuzimanje datoteke Shutdown.log je prilično jednostavno”, rekao je istraživač sigurnosti Maher Yamout. “Log fajl je pohranjen u sysdiagnose (sysdiag) arhivi.”

    Ruska firma za kibernetičku sigurnost saopštila je da je identifikovala unose u log datoteci koji su zabilježili slučajeve u kojima su “sticky” procesi, poput onih povezanih sa špijunskim softverom, uzrokovali odlaganje ponovnog pokretanja, u nekim slučajevima posmatrajući procese povezane s Pegasusom u više od četiri obavijesti o kašnjenju ponovnog pokretanja.

    Štaviše, istraga je otkrila prisustvo slične putanje fajl sistema koji koriste sve tri porodice špijunskog softvera – „/private/var/db/“ za Pegasus i Reign i „/private/var/tmp/“ za Predator – što djeluje kao pokazatelj kompromisa (IOC).

    Nova metoda iShutdown otkriva skriveni spyware kao što je Pegasus na vašem iPhoneu - Kiber.ba

    Međutim, uspjeh ovog pristupa zavisi o upozorenju da ciljni korisnik ponovo pokreće svoj uređaj što je češće moguće, čija učestalost varira ovisno o profilu prijetnje.

    Kaspersky je takođe objavio kolekciju Python skripti za izdvajanje, analizu i raščlanjivanje Shutdown.log kako bi izvukao statistiku ponovnog pokretanja.

    “Lagana priroda ove metode čini je lako dostupnom i pristupačnom”, rekao je Yamout. “Štaviše, ova log datoteka može čuvati unose nekoliko godina, što je čini vrijednim forenzičkim artefaktom za analizu i identifikaciju anomalnih log unosa.”

    Otkriće dolazi kada je SentinelOne otkrio da se kradljivci informacija koji ciljaju na macOS kao što su KeySteal, Atomic i JaskaGo (aka CherryPie ili Gary Stealer) brzo prilagođavaju kako bi zaobišli ugrađenu Apple-ovu antivirusnu tehnologiju pod nazivom XProtect.

    “Uprkos čvrstim naporima Applea da ažurira svoju XProtect bazu podataka potpisa, ovi brzo evoluirajući sojevi malvera je i dalje izbjegavaju”, rekao je istraživač sigurnosti Phil Stokes. “Oslanjanje isključivo na detekciju zasnovano na potpisima nije dovoljno jer hakeri imaju sredstva i motiv da se brzo prilagode.”

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories