Yeni iShutdown Yöntemi, iPhone'unuzdaki Pegasus gibi gizli casus yazılımları ortaya çıkarabilir.

Cybersecurity araştırmacıları, NSO Group'un Pegasus, QuaDream'ın Reign ve Intellexa'nın Predator gibi kötü amaçlı tehditleri de içeren casus yazılım belirtilerini güvenilir bir şekilde tanımlamak için "hafif bir yöntem" olan iShutdown'u tespit etti.

Pegasus tarafından etkilenen bir dizi iPhone'u inceleyen Kaspersky, enfeksiyonların "Shutdown.log" adlı bir dosyada iz bıraktığını belirtti. Bu dosya, tüm iOS cihazlarında bulunan ve her yeniden başlatma olayını ve çevresel özelliklerini kaydeden metin tabanlı bir sistem günlük dosyasıdır.

Cybersecurity
Güvenlik araştırmacısı Maher Yamout, "Adli cihaz görüntüleme veya tam iOS yedekleme gibi daha zaman alıcı alım yöntemleri ile karşılaştırıldığında, Shutdown.log dosyasını almak oldukça basittir" dedi. "Günlük dosyası, bir sysdiagnose (sysdiag) arşivinde depolanır."

Rus siber güvenlik firması, günlük dosyasında, casus yazılımla ilişkilendirilen "sticky" (sabit) süreçlerin, bazı durumlarda Pegasus ile ilişkilendirilen süreçleri dörtten fazla yeniden başlatma gecikmesine neden olduğunu kaydeden girişleri tanımladığını belirtti.

Dahası, araştırma, üç casus yazılım ailesi tarafından kullanılan benzer bir dosya sistem yolu varlığını ortaya koydu - Pegasus ve Reign için "/private/var/db/" ve Predator için "/private/var/tmp/" - bu da bir ihlal göstergesi olarak hareket eder.

Ancak, bu yaklaşımın başarısı, hedef kullanıcının tehdit profiline bağlı olarak mümkün olduğunca sık cihazını yeniden başlatmasına dayanmaktadır, bu frekans değişkenlik gösterir.

Kaspersky ayrıca, Shutdown.log'u çıkarmak, analiz etmek ve ayrıştırmak için Python betiklerinden oluşan bir koleksiyon yayınlamıştır.

Yamout, "Bu yöntemin hafif doğası, onu hemen kullanılabilir ve erişilebilir kılar" dedi. "Ayrıca, bu günlük dosyası, anormal günlük girişlerini analiz etmek ve tanımlamak için değerli bir adli belge olarak birkaç yıl boyunca girişler saklayabilir."

Cybersecurity
Bu açıklama, SentinelOne'ın KeySteal, Atomic ve JaskaGo gibi macOS hedefli bilgi hırsızlarına yönelik olarak Apple'ın XProtect adlı yerleşik antivirüs teknolojisini atlatmak için hızla adapte olan casusluk yazılımlarını ortaya çıkardığı bir dönemde geldi.

Güvenlik araştırmacısı Phil Stokes, "Apple'ın XProtect imza veritabanını güncelleme konusundaki sağlam çabalarına rağmen, bu hızla evrilen kötü amaçlı yazılım suşları hala kaçınıyor" dedi. "Yalnızca imza tabanlı tespite dayanmak, tehdit aktörlerinin hızlı bir şekilde adapte olma yeteneklerini göz ardı etmektedir, bu yetersizdir."

Etiket: #Spyware #ForensicAnalysis

Kategori: Spyware

Eklenme Tarihi: 17.01.2024