Güvenlik araştırmacıları, yüksek profilli casus yazılım Pegasus, Reign ve Predator'a sahip enfeksiyonların, yeniden başlatma olaylarını depolayan bir sistem günlük dosyası olan Shutdown.log'u kontrol ederek tehlikeye atılmış Apple mobil cihazlarda keşfedilebileceğini buldu.
Kaspersky, kapatma.log dosyasını analiz etme işlemini otomatikleştirmeye yardımcı olmak için Python komut dosyaları yayınladı ve kötü amaçlı yazılım enfeksiyonu belirtilerini değerlendirilmesi kolay bir şekilde tanıyor.
Shutdown.log, cihazı yeniden başlattıktan sonra ve bir işlemin sonlandırılması gereken süreyi ve tanımlayıcısını (PID) kaydederken yazılır.
İşlem enjeksiyonu ve gerçekleştirdiği manipülasyon nedeniyle cihaz yeniden başlatması üzerinde ölçülebilir bir etkisi olan kötü amaçlı yazılım, uzlaşmayı doğrulayan dijital adli artefaktlar bırakır.
Araştırmacılar, şifreli bir iOS yedekleme veya ağ trafiğini incelemek gibi standart tekniklerle karşılaştırıldığında, Shutdown.log dosyası çok daha kolay bir analiz yöntemi sağlıyor.
Kaspersky, ISHutdown adlı üç Python komut dosyası yayınladı ve araştırmacıların iOS kapatma günlük dosyasından yeniden başlatma verilerini kontrol etmesine izin veriyor:
Shutdown.log dosyası yalnızca uzlaşmadan sonra bir yeniden başlatma gerçekleştirilirse enfeksiyon belirtileri içeren veri yazabildiğinden, Kaspersky cihaz enfeksiyonunu sık sık yeniden başlatmanızı önerir.
"Ne sıklıkla, sorabilirsiniz? Peki, bu, kullanıcının tehdit profiline bağlıdır; birkaç saatte, her gün veya belki de" önemli olaylar "etrafında; bunu açık uçlu bir soru olarak bırakacağız" - Kaspersky
Kaspersky’nin GitHub Deposu, Python komut dosyalarının nasıl kullanılacağı ve ayrıca örnek çıktılarla ilgili talimatlar içerir. Bununla birlikte, sonuçları doğru bir şekilde değerlendirmek için python, iOS, terminal çıktı ve kötü amaçlı yazılım göstergelerine biraz aşina olması gerekir.
SYSDiagnose dosyaları, yazılım davranışı, ağ iletişimi ve daha fazlası hakkında bilgi içeren iOS ve iPados cihazlarında sorun gidermek için kullanılan 200-400MB .tar.gz arşivleridir.
Kaspersky başlangıçta Pegasus casus yazılımlarla enfekte olan iPhone'ları analiz etmek için yöntemi kullandı ve Uluslararası Af Örgütü tarafından geliştirilen MVT aracı kullanılarak onaylanan log'da enfeksiyon göstergesini aldı.
"Analiz ettiğimiz diğer Pegasus enfeksiyonları ile bu davranışın tutarlılığını doğruladığımız için, enfeksiyon analizini desteklemek için güvenilir bir adli artefakt olarak hizmet edeceğine inanıyoruz" - Kaspersky
Araştırmacılar, kullanıcı enfeksiyon gününde cihazı yeniden başlatmazsa yöntemlerinin başarısız olduğunu not eder. Başka bir gözlem, prosedürü önleyen Pegasus ile ilgili bir işlem olması gibi, yeniden başlatma geciktiğinde günlük dosyasının kaydolmasıdır.
Bu, enfekte olmayan telefonlarda olsa da, Kaspersky araştırmacıları, aşırı kabul edilen dörtten fazla gecikmenin araştırılması gereken bir log anomali olduğuna inanıyor.
Yöntemi saltanat casus yazılımı ile enfekte edilmiş bir iPhone'daki test ederken, araştırmacılar kötü amaçlı yazılım yürütmesinin Pegasus örneğiyle aynı yol olan “/private/var/db” dan kaynaklandığını fark ettiler.
Shurdown günlük dosyasında görülebilen benzer bir yol, milletvekillerini ve gazetecileri hedefleyen Predator casus yazılımı tarafından da kullanılır.
Buna dayanarak, Kaspersky araştırmacıları, hedefin telefonlarını yeterince sık yeniden başlatması koşuluyla, "günlük dosyasını kullanmanın bu kötü amaçlı yazılım ailelerinin enfeksiyonlarını tanımlamaya yardımcı olabileceğine" inanıyor.
iPhone Üçgenleme Saldırısı Kötü Belgesiz Donanım Özelliği
Apple, acil durum güncellemelerinde iki yeni iOS sıfır gününü düzeltir
MacOS Info-Starers, XPROTECT Tespitinden Kaçmak İçin Hızlı Gelişiyor
Apple Acil Durum Güncellemeleri Eski iPhone'larda son sıfır günleri düzeltin
Google Play'de Spyloan Android Kötü Yazılım 12 milyon kez indirildi
Kaynak: Bleeping Computer