Cybersecurity-onderzoekers hebben een ‘lichtgewichtmethode’ geïdentificeerd, genaamd iAfsluiten voor het betrouwbaar identificeren van tekenen van spyware op Apple iOS-apparaten, waaronder beruchte bedreigingen zoals Pegasus van NSO Group, Reign van QuaDream en Predator van Intellexa.
Kaspersky, dat een reeks iPhones analyseerde die door Pegasus waren gehackt, zei dat de infecties sporen achterlieten in een bestand met de naam ‘Shutdown.log’, een op tekst gebaseerd systeemlogbestand dat beschikbaar is op alle iOS-apparaten en dat elke herstartgebeurtenis naast zijn omgeving registreert. kenmerken.
“Vergeleken met tijdrovende acquisitiemethoden zoals forensische apparaatbeeldvorming of een volledige iOS-back-up, is het ophalen van het Shutdown.log-bestand vrij eenvoudig”, aldus beveiligingsonderzoeker Maher Yamout. “Het logbestand wordt opgeslagen in een sysdiagnose (sysdiag) archief.”
Het Russische cyberbeveiligingsbedrijf zei dat het vermeldingen in het logbestand had geïdentificeerd die gevallen registreerden waarin “plakkerige” processen, zoals die geassocieerd met de spyware, een herstartvertraging veroorzaakten, waarbij in sommige gevallen Pegasus-gerelateerde processen werden waargenomen in meer dan vier herstartvertragingen.
Bovendien onthulde het onderzoek de aanwezigheid van een soortgelijk bestandssysteempad dat door alle drie de spywarefamilies wordt gebruikt – “/private/var/db/” voor Pegasus en Reign, en “/private/var/tmp/” voor Predator – en fungeert daarmee als een indicator van een compromis.
Dat gezegd hebbende, hangt het succes van deze aanpak af van het voorbehoud dat de beoogde gebruiker zijn apparaat zo vaak mogelijk opnieuw opstart, waarvan de frequentie varieert afhankelijk van zijn dreigingsprofiel.
Kaspersky heeft ook een verzameling Python-scripts gepubliceerd om Shutdown.log te extraheren, analyseren en parseren om zo de reboot-statistieken te extraheren.
“Het lichtgewicht karakter van deze methode maakt het gemakkelijk beschikbaar en toegankelijk,” zei Yamout. “Bovendien kan dit logbestand gegevens meerdere jaren bewaren, waardoor het een waardevol forensisch artefact is voor het analyseren en identificeren van afwijkende logboekgegevens.”
De onthulling komt op het moment dat SentinelOne onthulde dat informatiestelers die zich richten op macOS, zoals KeySteal, Atomic en JaskaGo (ook bekend als CherryPie of Gary Stealer), zich snel aanpassen om de ingebouwde antivirustechnologie van Apple, genaamd XProtect, te omzeilen.
“Ondanks de solide inspanningen van Apple om de XProtect-signatuurdatabase bij te werken, blijven deze snel evoluerende soorten malware zich ontwijken”, aldus beveiligingsonderzoeker Phil Stokes. “Alleen vertrouwen op op handtekeningen gebaseerde detectie is onvoldoende omdat bedreigingsactoren de middelen en het motief hebben om zich snel aan te passen.”
