Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

Các nhà nghiên cứu an ninh mạng đã xác định được một "phương pháp nhẹ nhàng" có tên iShutdown để xác định các dấu hiệu phần mềm gián điệp trên thiết bị iOS của Apple một cách đáng tin cậy, bao gồm các mối đe dọa khét tiếng như Pegasus của NSO Group, Reign của QuaDream và Predator của Intellexa.

Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

Kaspersky, đã phân tích một bộ iPhone bị xâm nhập bằng Pegasus, cho biết sự lây nhiễm đã để lại dấu vết trong một tệp có tên "Shutdown.log", một tệp nhật ký hệ thống dựa trên văn bản có sẵn trên tất cả các thiết bị iOS và ghi lại mọi sự kiện khởi động lại cùng với môi trường của nó.

Nhà nghiên cứu bảo mật Maher Yamout cho biết: “So với các phương pháp thu thập tốn nhiều thời gian hơn như chụp ảnh thiết bị pháp y hoặc sao lưu toàn bộ iOS, việc truy xuất tệp Shutdown.log khá đơn giản”. "Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag)."

Công ty an ninh mạng Nga cho biết họ đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các quy trình "dính", chẳng hạn như các quy trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, quan sát thấy các quy trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.

Hơn nữa, cuộc điều tra còn tiết lộ sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng – “/private/var/db/” cho Pegasus và Reign, và “/private/var/tmp/” cho Predator – do đó đóng vai trò như một dấu hiệu của sự thỏa hiệp.

Điều đó nói lên rằng, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi tùy theo hồ sơ mối đe dọa của họ.

Kaspersky cũng đã xuất bản một bộ sưu tập các tập lệnh Python để trích xuất, phân tích và phân tích Shutdown.log nhằm lấy số liệu thống kê khởi động lại, chẳng hạn như lần khởi động lại đầu tiên, lần khởi động lại cuối cùng và số lần khởi động lại mỗi tháng.

Yamout cho biết: “Bản chất nhẹ của phương pháp này khiến nó trở nên sẵn có và dễ tiếp cận”. "Hơn nữa, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một tạo phẩm pháp y có giá trị để phân tích và xác định các mục nhật ký bất thường."

Tiết lộ này được đưa ra khi SentinelOne tiết lộ những kẻ đánh cắp thông tin nhắm mục tiêu vào macOS như KeySteal, Atomic và JaskaGo (còn gọi là CherryPie hoặc Gary Stealer) đang nhanh chóng thích nghi để phá vỡ công nghệ chống vi-rút tích hợp của Apple có tên XProtect.

Nhà nghiên cứu bảo mật Phil Stokes cho biết: “Bất chấp những nỗ lực vững chắc của Apple trong việc cập nhật cơ sở dữ liệu chữ ký XProtect của mình, những chủng phần mềm độc hại phát triển nhanh chóng này vẫn tiếp tục lẩn tránh”. “Chỉ dựa vào phát hiện dựa trên dấu hiệu là không đủ vì các tác nhân đe dọa có phương tiện và động cơ để thích ứng nhanh chóng.”

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Kaspersky hướng dẫn cách hạn chế rủi ro khi sử dụng Wi-Fi công cộng

Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng tại quán cà phê, sân bay hoặc xuyên suốt kỳ nghỉ...

Chi tiết
Standard Post with Image

Kaspersky nhận định tình trạng lây nhiễm trong các doanh nghiệp SMB đang gia tăng do sự trỗi dậy của các cuộc tấn công vào Micro

Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã tăng 5% trong quý I năm 2024, so với cùng kỳ năm...

Chi tiết
Standard Post with Image

TeamViewer phát hiện vi phạm bảo mật trong môi trường CNTT doanh nghiệp

TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ của công ty vào ngày 26 tháng 6 năm 2024.

Chi tiết