Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Лаборатория Касперского: ежедневная перезагрузка iPhone поможет обнаружить шпионское ПО

18/01/24

JNypoQm4JYigRxjwHL4fBS-1200-80

 

Специалисты Лаборатории Касперского рассказали о своем опыте анализа iOS-устройств, зараженных шпионским ПО Pegasus израильской компании NSO Group. Было обнаружено, что вредоносные программы оставляют следы в системном файле журнала Shutdown.log. Разработанный метод может помочь обнаружить не только Pegasus, но и другие вредоносные программы, такие как Reign от компании QuaDream и Predator от Cytrox, которые используют схожие пути в файловой системе.

Shutdown.log — это текстовый лог-файл, который создается на iOS-устройствах при каждой перезагрузке. В нем записывается информация о процессах, которые запущены в момент перезагрузки, их идентификаторах и путях в файловой системе, пишет Securitylab. Если какой-то процесс мешает нормальной перезагрузке, то это также отмечается в лог-файле. Эксперты Лаборатории Касперского заметили, что вредоносные программы часто запускаются из папок «/private/var/db/» или «/private/var/tmp/», и эти пути можно увидеть в Shutdown.log.

Для того, чтобы получить лог-файл, нужно сгенерировать архив sysdiag, который содержит различные системные логи и базы данных. Это можно сделать в настройках iOS, в разделе «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения». Архив sysdiag имеет размер около 200-400 МБ и может быть передан на анализирующий компьютер. После распаковки архива файл Shutdown.log находится в папке «\system_logs.logarchive\Extra».

Лаборатория Касперского создала несколько скриптов на Python3, которые помогают извлекать и анализировать файл Shutdown.log. С помощью скриптов можно обнаружить аномалии в лог-файле – запущенные вредоносные процессы, задержки перезагрузки или необычные пути в файловой системе. Скрипты также могут преобразовать лог-файл в формат CSV, декодировать временные метки и сгенерировать сводку анализа.

Специалисты подчеркивают, что анализ файла Shutdown.log не является универсальным способом обнаружения всех вредоносных программ на iOS-устройствах, и что такой метод зависит от того, как часто пользователь перезагружает свое устройство. Они также продолжают изучать лог-файл более подробно и на разных платформах, и надеются создать больше эвристик из его записей.

Лаборатория Касперского призывает пользователей, которые имеют интересные образцы, способные помочь исследованию, связаться с компанией по адресу intelreports@kaspersky.com . Исследователи уверяют, что файл Shutdown.log не содержит никакой личной информации, поэтому его можно безопасно передавать для анализа.

Отметим, что борьбу с вредоносным ПО путем перезагрузки смартфона ранее упоминала команда разработчиков GrapheneOS, создавшая одноимённую операционную систему для Android, ориентированную на конфиденциальность и безопасность. Специалисты предложили ввести функцию автоматической перезагрузки в Android, которая усложнит эксплуатацию уязвимостей прошивки.

Темы:КибербезопасностьIphoneОтрасльЛКинструкции
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...