18.01.2024 | Лаборатория Касперского: ежедневная перезагрузка iPhone поможет обнаружить шпионское ПО |
Специалисты Лаборатории Касперского рассказали о своем опыте анализа iOS-устройств, зараженных шпионским ПО Pegasus израильской компании NSO Group . Было обнаружено, что вредоносные программы оставляют следы в системном файле журнала Shutdown.log. Разработанный метод может помочь обнаружить не только Pegasus, но и другие вредоносные программы, такие как Reign от компании QuaDream и Predator от Cytrox , которые используют схожие пути в файловой системе. Shutdown.log — это текстовый лог-файл, который создается на iOS-устройствах при каждой перезагрузке. В нем записывается информация о процессах, которые запущены в момент перезагрузки, их идентификаторах и путях в файловой системе. Если какой-то процесс мешает нормальной перезагрузке, то это также отмечается в лог-файле. Эксперты Лаборатории Касперского заметили, что вредоносные программы часто запускаются из папок «/private/var/db/» или «/private/var/tmp/», и эти пути можно увидеть в Shutdown.log.
Фрагмент из файла Shutdown.log Для того, чтобы получить лог-файл, нужно сгенерировать архив sysdiag, который содержит различные системные логи и базы данных. Это можно сделать в настройках iOS , в разделе «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения». Архив sysdiag имеет размер около 200-400 МБ и может быть передан на анализирующий компьютер. После распаковки архива файл Shutdown.log находится в папке «system_logs.logarchiveExtra». Лаборатория Касперского создала несколько скриптов на Python3, которые помогают извлекать и анализировать файл Shutdown.log. С помощью скриптов можно обнаружить аномалии в лог-файле – запущенные вредоносные процессы, задержки перезагрузки или необычные пути в файловой системе. Скрипты также могут преобразовать лог-файл в формат CSV, декодировать временные метки и сгенерировать сводку анализа.
Обнаружение экземпляра вредоносного ПО Pegasus Специалисты подчеркивают, что анализ файла Shutdown.log не является универсальным способом обнаружения всех вредоносных программ на iOS-устройствах, и что такой метод зависит от того, как часто пользователь перезагружает свое устройство. Они также продолжают изучать лог-файл более подробно и на разных платформах, и надеются создать больше эвристик из его записей. Лаборатория Касперского призывает пользователей, которые имеют интересные образцы, способные помочь исследованию, связаться с компанией по адресу intelreports@kaspersky.com . Исследователи уверяют, что файл Shutdown.log не содержит никакой личной информации, поэтому его можно безопасно передавать для анализа. Отметим, что борьбу с вредоносным ПО путем перезагрузки смартфона ранее упоминала команда разработчиков GrapheneOS, создавшая одноимённую операционную систему для Android, ориентированную на конфиденциальность и безопасность. Специалисты предложили ввести функцию автоматической перезагрузки в Android, которая усложнит эксплуатацию уязвимостей прошивки. |
Проверить безопасность сайта