Kaspersky araştırmacıları, Pegasus ve Pegasus benzeri yeni tehditler olan Reign ve Predator gibi sofistike iOS casus yazılımlarını tespit etmek için yeni bir yöntem ortaya çıkardı. Ayrıca kullanıcılar için bir kontrol aracı oluşturdu.
Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), daha önce keşfedilmemiş bir adli tıp vakası olan Shutdown.log’u analiz ederek Pegasus, Reign ve Predator gibi gelişmiş iOS casus yazılımlarından bulaşma göstergelerini tespit etmek için yeni bir yöntem geliştirdi.
Kaspersky uzmanları, Pegasus enfeksiyonlarının herhangi bir mobil iOS cihazının sysdiagnose arşivinde saklanan Shutdown.log adlı sistem günlüğünde beklenmedik izler bıraktığını keşfetti. Bu arşiv her yeniden başlatma sırasında oturum bilgilerini saklıyor. Yani virüs bulaşmış bir kullanıcı cihazını yeniden başlattığında Pegasus kötü amaçlı yazılımıyla ilişkili anomaliler günlük kaydında görünür hale geliyor.
Yapılan tespitler arasında özellikle Pegasus ile bağlantılı olanlar olmak üzere, yeniden başlatmayı engelleyen “yapışkan” süreçlerin yanı sıra siber güvenlik topluluğunun gözlemleri yoluyla keşfedilen enfeksiyon izleri de yer alıyordu.
Kaspersky GReAT Güvenlik Araştırmaları Lideri Maher Yamout, şunları söyledi: “Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı kalıntılara dayanarak minimum düzeyde müdahaleci ve kaynak kullanımı açısından hafif olduğunu kanıtlıyor. Günlükteki bulaşma göstergesini aldıktan ve Mobile Verification Toolkit’i (MVT) diğer iOS araçlarını kullanarak bulaşmayı doğruladıktan sonra, günlük kayıtları iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel yaklaşımın bir parçası haline geldi. Bu davranışın analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını keşfetmemiz sayesinde, enfeksiyon analizini desteklemek için güvenilir bir adli kanıt olarak hizmet edeceğine inanıyoruz.”
Pegasus enfeksiyonlarındaki Shutdown.log dosyasını inceleyen Kaspersky uzmanları, Reign ve Predator gibi diğer iOS zararlı yazılımlarının neden olduğu enfeksiyonlarda da görülen, özellikle “/private/var/db/” olmak üzere ortak bir enfeksiyon yolu gözlemledi. Kaspersky araştırmacıları, günlük dosyasının bu gibi kötü amaçlı yazılım aileleriyle ilgili bulaşmaları da tanımlama potansiyeline sahip olduğuna inanıyor.
Kaspersky uzmanları, casus yazılım bulaşmalarını anlamayı kolaylaştırmak için bir otomatik kontrol aracı geliştirdi. Python3 komut dosyaları, Shutdown.log yapıtının çıkarılmasını, analiz edilmesini ve ayrıştırılmasını kolaylaştırıyor. Araç GitHub’da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için kullanılabiliyor.
sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.