Kaspersky predstavlja orodje, ki zazna vohunsko programsko opremo Pegasus v sistemu iOS

Objavljeno dne: Januar 18, 2024

Raziskovalci v Ljubljani Kaspersky so razvili novo metodo za odkrivanje okužb s sofisticirano vohunsko programsko opremo iOS in izdali lahko orodje za uporabnike iOS za zaščito svojih naprav.

orodje, iShutdown, je sposoben prepoznati znake vohunske programske opreme v sistemu iOS iz vsaj 3 družin vohunskih programov, ki jih je težko zaznati, vključno s Pegasusom, Intellexa's Predator in QuaDream's Reign.

Kasperskyjev Global Research and Analysis Team (GReAT) je odkril, da te okužbe puščajo sledi v pogosto spregledani sistemski datoteki, imenovani Shutdown.log, ki se nahaja v arhivu sysdiagnose naprav iOS, ki beleži podrobnosti ob vsakem ponovnem zagonu naprave iOS. Ko se naprava iOS, okužena z zlonamerno programsko opremo Pegasus, znova zažene, raziskovalci pojasnjujejo, da datoteka beleži anomalije, ki kažejo na prisotnost vohunske programske opreme.

Med temi anomalijami je skupina identificirala "lepljive" procese, ki motijo ​​normalen proces ponovnega zagona, značilnost, ki je pogosto povezana s Pegasusom. Odkrili so tudi sledi okužb, tako da so svoje ugotovitve primerjali z znanim vedenjem vohunske programske opreme, o kateri poroča skupnost za kibernetsko varnost.

Poleg tega je skupina v svoji analizi datotek Shutdown.log iz naprav, okuženih s Pegasusom, opazila ponavljajoči se vzorec na poti datoteke »/private/var/db/«, ki je podoben tistim, ki jih najdemo pri okužbah z drugo zlonamerno programsko opremo iOS, kot je Reign in Predator.

»Analiza izpisa sysdiag se je izkazala za minimalno vsiljivo in malo virov, saj se opira na sistemske artefakte za prepoznavanje potencialnih okužb iPhone. Po prejemu indikatorja okužbe v tem dnevniku in potrditvi okužbe z uporabo orodja Mobile Verification Toolkit (MVT) za obdelavo drugih artefaktov sistema iOS, ta dnevnik zdaj postane del celostnega pristopa k preiskovanju okužbe z zlonamerno programsko opremo iOS,« je povedal vodilni varnostni raziskovalec pri Kaspersky's Global Research and Ekipa za analizo Maher Yamout.

Na podlagi teh opazovanj raziskovalci družbe Kaspersky kažejo, da bi lahko bila datoteka Shutdown.log ključni vir pri prepoznavanju naprav, okuženih s tovrstno zlonamerno programsko opremo.

"Ker smo potrdili skladnost tega vedenja z drugimi okužbami Pegasusa, ki smo jih analizirali, verjamemo, da bo služil kot zanesljiv forenzični artefakt za podporo analizi okužb," je dodal Yamout.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/