Исследователи «Касперского» разработали легкий метод обнаружения признаков заражения сложными шпионскими программами для iOS, такими как Pegasus от NSO Group Reign от QuaDream и Predator от Intellexa путем анализа лог-файла, создаваемого на iOS-устройствах.
Анализ лога Shutdown.log
Эксперты компании обнаружили, что инфекции Pegasus оставляют следы в неожиданном системном журнале Shutdown.log
, хранящемся в архиве sysdiagnose любого мобильного iOS-устройства. В этом архиве сохраняется информация о каждом сеансе перезагрузки, поэтому аномалии, связанные с вредоносным ПО Pegasus, становятся заметны в журнале, если зараженный пользователь перезагружает свое устройство.
Среди выявленных аномалий – «липкие» процессы, препятствующие перезагрузке, в частности связанные с Pegasus, а также следы инфекции, обнаруженные в ходе наблюдений сообщества кибербезопасности.
«Анализ дампа sysdiag оказывается минимально интрузивным и ресурсоемким, опираясь на системные артефакты для выявления потенциальных заражений iPhone Получив индикатор заражения в этом журнале и подтвердив заражение с помощью обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT), этот журнал теперь становится частью целостного подхода к расследованию заражения iOS вредоносным ПО. Поскольку мы подтвердили соответствие этого поведения другим проанализированным нами инфекциям Pegasus, мы считаем, что он послужит надежным артефактом для анализа заражения».
- говорит Махер Ямаут, ведущий исследователь безопасности в Глобальной исследовательской и аналитической группе Касперского (GReAT)
Анализируя файл Shutdown.log
при заражении Pegasus, эксперты «Касперского» заметили общий путь заражения, а именно /private/var/db/
, зеркально отражающий пути, наблюдаемые при заражении другими вредоносными программами для iOS, такими как Reign и Predator. Исследователи компании считают, что этот лог-файл может быть использован для выявления заражений, связанных с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионских программ, эксперты «Касперского» разработали утилиту самопроверки для пользователей. Скрипты на языке Python3 позволяют извлекать, анализировать и разбирать артефакт Shutdown.log. Инструмент находится в открытом доступе на сайте
GitHub и доступен для macOS Windows и Linux.
Предотвращение заражения iOS-шпионами
iOS-шпионские программы, такие как Pegasus, очень сложны. Хотя киберсообщество не всегда может предотвратить успешную эксплуатацию, пользователи могут предпринять шаги, чтобы затруднить работу злоумышленников.
Чтобы защититься от современных шпионских программ на iOS, эксперты «Касперского» рекомендуют следующее:
- Ежедневная перезагрузка: Согласно исследованиям Amnesty International и Citizen Lab, Pegasus часто полагается на «нулевые» клики без стойкости. Регулярные ежедневные перезагрузки могут помочь очистить устройство, избавив злоумышленников от необходимости повторного заражения, что со временем повышает шансы на обнаружение.
- Режим блокировки: Было несколько публичных отчетов об успехе недавно добавленного Apple режима блокировки в блокировании заражения iOS вредоносным ПО.
- Отключите iMessage и Facetime: iMessage, включенный по умолчанию, является привлекательным вектором эксплуатации. Его отключение снижает риск стать жертвой цепочек «нулевого клика». Тот же совет применим и к Facetime, еще одному потенциальному вектору эксплуатации.
- Обновляйте устройство: Оперативно устанавливайте последние исправления для iOS, поскольку многие наборы эксплойтов для iOS нацелены на уже исправленные уязвимости. Быстрые обновления очень важны для того, чтобы опередить некоторых злоумышленников, которые могут использовать задержку обновлений.
- Проявляйте осторожность со ссылками: Избегайте переходов по ссылкам, полученным в сообщениях, так как клиенты Pegasus могут прибегнуть к эксплойтам в 1 клик, доставляемым через SMS, другие мессенджеры или электронную почту.
- Регулярно проверяйте резервные копии и sysdiag: Обработка зашифрованных резервных копий и архивов Sysdiagnose с помощью инструментов MVT и Kaspersky поможет обнаружить вредоносное ПО для iOS.
Включив эти методы в свою жизнь, пользователи смогут укрепить свою защиту от современных шпионских программ для iOS и снизить риск успешных атак.
Комментарии (0)