Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone
Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone
Các nhà nghiên cứu an ninh mạng đã xác định được một "phương pháp nhẹ nhàng" có tên iShutdown để xác định các dấu hiệu phần mềm gián điệp trên thiết bị iOS của Apple một cách đáng tin cậy, bao gồm các mối đe dọa khét tiếng như Pegasus của NSO Group, Reign của QuaDream và Predator của Intellexa.
Kaspersky, đã phân tích một bộ iPhone bị xâm nhập bằng Pegasus, cho biết sự lây nhiễm đã để lại dấu vết trong một tệp có tên "Shutdown.log", một tệp nhật ký hệ thống dựa trên văn bản có sẵn trên tất cả các thiết bị iOS và ghi lại mọi sự kiện khởi động lại cùng với môi trường của nó.
Nhà nghiên cứu bảo mật Maher Yamout cho biết: “So với các phương pháp thu thập tốn nhiều thời gian hơn như chụp ảnh thiết bị pháp y hoặc sao lưu toàn bộ iOS, việc truy xuất tệp Shutdown.log khá đơn giản”. "Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag)."
Công ty an ninh mạng Nga cho biết họ đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các quy trình "dính", chẳng hạn như các quy trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, quan sát thấy các quy trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.
Hơn nữa, cuộc điều tra còn tiết lộ sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng – “/private/var/db/” cho Pegasus và Reign, và “/private/var/tmp/” cho Predator – do đó đóng vai trò như một dấu hiệu của sự thỏa hiệp.
Điều đó nói lên rằng, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi tùy theo hồ sơ mối đe dọa của họ.
Kaspersky cũng đã xuất bản một bộ sưu tập các tập lệnh Python để trích xuất, phân tích và phân tích Shutdown.log nhằm lấy số liệu thống kê khởi động lại, chẳng hạn như lần khởi động lại đầu tiên, lần khởi động lại cuối cùng và số lần khởi động lại mỗi tháng.
Yamout cho biết: “Bản chất nhẹ của phương pháp này khiến nó trở nên sẵn có và dễ tiếp cận”. "Hơn nữa, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một tạo phẩm pháp y có giá trị để phân tích và xác định các mục nhật ký bất thường."
Tiết lộ này được đưa ra khi SentinelOne tiết lộ những kẻ đánh cắp thông tin nhắm mục tiêu vào macOS như KeySteal, Atomic và JaskaGo (còn gọi là CherryPie hoặc Gary Stealer) đang nhanh chóng thích nghi để phá vỡ công nghệ chống vi-rút tích hợp của Apple có tên XProtect.
Nhà nghiên cứu bảo mật Phil Stokes cho biết: “Bất chấp những nỗ lực vững chắc của Apple trong việc cập nhật cơ sở dữ liệu chữ ký XProtect của mình, những chủng phần mềm độc hại phát triển nhanh chóng này vẫn tiếp tục lẩn tránh”. “Chỉ dựa vào phát hiện dựa trên dấu hiệu là không đủ vì các tác nhân đe dọa có phương tiện và động cơ để thích ứng nhanh chóng.”
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...
Chi tiếtGoogle đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...
Chi tiết