Пенка Христовска
Исследователи Kaspersky разработали новый метод обнаружения заражений сложными шпионскими программами для iOS и выпустили легкий инструмент для пользователей iOS для защиты своих устройств.
Инструмент, iВыключение, способен выявлять признаки шпионского ПО на iOS как минимум из трех труднообнаружимых семейств шпионского ПО, включая Pegasus, Predator от Intellexa и Reign от QuaDream.
Глобальная группа исследований и анализа Касперского (GReAT) обнаружила, что эти инфекции оставляют следы в часто упускаемом из виду системном файле Shutdown.log, расположенном в архиве sysdiagnose устройств iOS и записывающем подробности при каждом перезапуске устройства iOS. Когда устройство iOS, зараженное вредоносным ПО Pegasus, перезагружается, исследователи поясняют, что в файле сохраняются аномалии, указывающие на наличие шпионского ПО.
Среди этих аномалий команда определила «залипающие» процессы, которые нарушают нормальный процесс перезагрузки — характеристику, часто связываемую с Pegasus. Они также обнаружили следы заражения, сравнив свои выводы с известным поведением шпионских программ, о которых сообщило сообщество кибербезопасности.
Кроме того, при анализе файлов Shutdown.log с устройств, зараженных Pegasus, команда заметила повторяющийся шаблон в пути к файлу «/private/var/db/», который аналогичен тем, которые обнаруживаются при заражении другими вредоносными программами для iOS, такими как Царство и Хищник.
«Анализ дампа sysdiag оказывается минимально интрузивным и ресурсоемким, поскольку для выявления потенциальных заражений iPhone используются системные артефакты. Получив индикатор заражения в этом журнале и подтвердив заражение с помощью обработки Mobile Verification Toolkit (MVT) других артефактов iOS, этот журнал теперь становится частью целостного подхода к расследованию заражения iOS вредоносным ПО», — сказал ведущий исследователь безопасности в отделе глобальных исследований и исследований Касперского. Аналитическая группа Махер Ямут.
Основываясь на этих наблюдениях, исследователи «Лаборатории Касперского» предполагают, что файл Shutdown.log может быть ключевым ресурсом в идентификации устройств, зараженных этими типами вредоносных программ.
«Поскольку мы подтвердили соответствие этого поведения другим инфекциям Pegasus, которые мы анализировали, мы считаем, что оно послужит надежным судебно-медицинским артефактом для поддержки анализа заражения», — добавил Ямут.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/
- :является
- 40
- a
- добавленный
- Affiliate
- причислены
- an
- анализ
- проанализированы
- и
- подхода
- архив
- МЫ
- AS
- At
- аватар
- BE
- становится
- поведение
- верить
- by
- под названием
- способный
- характеристика
- сообщество
- сравнив
- ПОДТВЕРЖДЕНО
- может
- Информационная безопасность
- подробнее
- обнаруживать
- развитый
- устройство
- Устройства
- открытый
- срывать
- дамп
- Каждая
- Объяснять
- семей
- Файл
- Файлы
- результаты
- Что касается
- судебный
- найденный
- от
- Глобальный
- большой
- имеющий
- целостный
- HTTPS
- идентифицированный
- определения
- идентифицирующий
- in
- В том числе
- ориентировочный
- Индикаторные
- инфекция
- Инфекции
- Представляет
- iOS
- iPhone
- IT
- Kaspersky
- Основные
- известный
- вести
- наименее
- Оставлять
- легкий
- такое как
- LINK
- связанный
- расположенный
- журнал
- вредоносных программ
- метод
- Мобильный телефон
- Новые
- "обычные"
- сейчас
- наблюдения
- of
- .
- on
- Другое
- часть
- путь
- шаблон
- Pegasus
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- потенциал
- хищник
- присутствие
- процесс
- Процессы
- обработка
- для защиты
- доказывает
- получила
- учет
- повторяющихся
- выпустил
- складская
- опираясь
- Сообщается
- исследованиям
- исследователь
- исследователи
- ресурс
- перезапущен
- Сказал
- безопасность
- служить
- выключение
- Признаки
- аналогичный
- сложный
- шпионских программ
- предлагать
- поддержка
- система
- команда
- который
- Ассоциация
- их
- Эти
- они
- этой
- те
- время
- в
- инструментом
- Инструментарий
- Типы
- пользователей
- через
- проверка
- we
- WebP
- когда
- который
- будете
- зефирнет