Ερευνητές ασφαλείας έχουν ανακαλύψει ότι οι μπορεί να ανιχνευθούν υψηλού προφίλ κακόβουλα λογισμικά όπως τα Pegasus, Reign και Predator, σε μολυσμένες συσκευές Apple, μέσω του αρχείου Shutdown.log, ένα αρχείο καταγραφής συστήματος που αποθηκεύει πληροφορίες για τα γεγονότα επανεκκίνησης.
Δείτε επίσης: Οδηγός για την Κατανόηση και Προστασία από λογισμικό Spyware
Η εταιρεία Kaspersky κυκλοφόρησε Python scripts για να βοηθήσει στην αυτοματοποίηση της διαδικασίας ανάλυσης του αρχείου Shutdown.log και αναγνώρισης πιθανών ενδείξεων μολυσμένου λογισμικού, με έναν τρόπο που είναι εύκολος για αξιολόγηση.
Το αρχείο shutdown.log δημιουργείται κατά την επανεκκίνηση της συσκευής και καταγράφει τον χρόνο που απαιτείται για τον τερματισμό μιας διεργασίας και το αναγνωριστικό της (PID). Ο κακόβουλος κώδικας που πραγματοποιεί διαδικασία εισαγωγής και παρέμβασης στη συσκευή, έχει μετρήσιμη επίδραση στην επανεκκίνησή της, αφήνοντας ψηφιακά αποδεικτικά στοιχεία που επιβεβαιώνουν την παραβίαση.
Σε σύγκριση με τεχνικές όπως η εξέταση ενός κρυπτογραφημένου αντιγράφου ασφαλείας iOS ή η κίνηση δικτύου, το αρχείο Shutdown.log παρέχει έναν πολύ πιο απλό τρόπο ανάλυσης, σύμφωνα με τους ερευνητές.
Η εταιρεία Kaspersky έχει δημοσιεύσει τρία σενάρια Python με το όνομα iShutdown που επιτρέπουν στους ερευνητές να ελέγχουν τα δεδομένα επανεκκίνησης από το αρχείο καταγραφής απενεργοποίησης του iOS.:
- iShutdown_detect.py – Αναλύει το αρχείο Sysdiagnose που περιέχει το αρχείο καταγραφής.
- iShutdown_parse.py – Εξάγει τα αρχεία καταγραφής Shutdown.log από το αρχείο tar.
- iShutdown_stats.py – Ανακτά στατιστικά επανεκκίνησης από το αρχείο καταγραφής.
Επειδή το αρχείο Shutdown.log μπορεί να καταγράψει δεδομένα που περιέχουν ενδείξεις μολύνσεων μόνο αν γίνει επανεκκίνηση μετά την παραβίαση, η Kaspersky συνιστά να επανεκκινείτε τη συσκευή συχνά για να ανιχνεύετε τυχόν μολύνσεις.
Δείτα ακόμα: Spyhide: Ένα ακόμα κορυφαίο spyware για κινητά έχει τεθεί εκτός λειτουργίας
Το αποθετήριο του Kaspersky στο GitHub περιλαμβάνει οδηγίες για το πώς να χρησιμοποιήσετε τα σενάρια Python, καθώς και παραδείγματα αποτελεσμάτων. Ωστόσο, για να αξιολογήσετε σωστά τα αποτελέσματα, απαιτείται κάποια εξοικείωση με την Python, το iOS, την έξοδο τερματικού και τους δείκτες κακόβουλου λογισμικού.
Τα αρχεία Sysdiagnose είναι συμπιεσμένα αρχεία .tar.gz μεγέθους 200-400MB που χρησιμοποιούνται για τη διάγνωση προβλημάτων σε συσκευές iOS και iPadOS. Περιέχουν πληροφορίες σχετικά με τη συμπεριφορά του λογισμικού, τις δικτυακές επικοινωνίες και άλλα.
Αρχικά, η Kaspersky χρησιμοποίησε τη μέθοδο για να αναλύσει iPhones που είχαν μολυνθεί με το κακόβουλο λογισμικό Pegasus και λάβαμε τον δείκτη μόλυνσης από το αρχείο καταγραφής, το οποίο επιβεβαιώθηκε χρησιμοποιώντας το εργαλείο MVT που ανέπτυξε η Amnesty International.
Οι ερευνητές σημειώνουν ότι η μέθοδός τους αποτυγχάνει εάν ο χρήστης δεν επανεκκινήσει τη συσκευή την ημέρα της μόλυνσης. Μια άλλη παρατήρηση είναι ότι το αρχείο καταγράφει όταν ο επανεκκινημένος υπολογιστής καθυστερεί, όπως στην περίπτωση μιας διεργασίας που σχετίζεται με το Pegasus και εμποδίζει τη διαδικασία.
Ποια εργαλεία είναι διαθέσιμα για την ανίχνευση και την απομάκρυνση του spyware;
Τα προγράμματα antivirus είναι ένα από τα πιο δημοφιλή εργαλεία για την ανίχνευση και απομάκρυνση του spyware. Αυτά τα προγράμματα σαρώνουν τον υπολογιστή σας για να εντοπίσουν και να αφαιρέσουν οποιοδήποτε κακόβουλο λογισμικό. Τα εργαλεία ανίχνευσης spyware είναι ειδικά σχεδιασμένα για να αντιμετωπίζουν αυτού του είδους τις απειλές. Αυτά τα εργαλεία συχνά περιλαμβάνουν λειτουργίες όπως προστασία σε πραγματικό χρόνο, αυτόματες ενημερώσεις και προστασία από την εγκατάσταση spyware.
Δείτε επίσης: Google Play: Ψεύτικες εφαρμογές Telegram μόλυναν χρήστες με spyware
Τα συστήματα προστασίας από εισβολές (IPS) είναι άλλα εργαλεία που μπορούν να βοηθήσουν στην ανίχνευση και απομάκρυνση του spyware. Αυτά τα συστήματα παρακολουθούν το δίκτυο για οποιαδήποτε ύποπτη δραστηριότητα και μπορούν να απομακρύνουν το spyware πριν αυτό εγκατασταθεί στον υπολογιστή σας.
Τέλος, τα εργαλεία ανάλυσης συστήματος μπορούν να χρησιμοποιηθούν για την ανίχνευση του spyware. Αυτά τα εργαλεία εξετάζουν το σύστημα του υπολογιστή σας για οποιαδήποτε αλλαγή που μπορεί να έχει προκληθεί από spyware, όπως αλλαγές στις ρυθμίσεις του συστήματος ή την εγκατάσταση νέων προγραμμάτων.
Πηγή: bleepingcomputer
