Эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» создали новый метод обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО, таким как Pegasus, Reign и Predator. Специалисты разработали несложный инструмент для поиска ранее неизвестных следов в Shutdown.log, чтобы пользователи могли самостоятельно проверить свои устройства iPhone.
Исследователи «Лаборатории Касперского» обнаружили новые признаки заражения Pegasus в системном логе Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с вредоносным ПО Pegasus, проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке, связанные с Pegasus, а также другие следы заражения, выявленные другими участниками сообщества по кибербезопасности.
«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путём обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию заражений iOS. Более того, мы подтвердили последовательность этого поведения в других заражениях Pegasus, которые мы анализировали, и полагаем, что это послужит надёжным артефактом при дальнейшем изучении процесса заражения», — сказал Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Проанализировав Shutdown.log в инцидентах Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионского ПО на своих устройствах, эксперты «Лаборатории Касперского» разработали специальную утилиту, которая облегчает обнаружение, анализ и парсинг артефактов Shutdown.log.
Шпионское ПО под iOS, такое как Pegasus, отличается высоким уровнем сложности. Чтобы обезопасить устройства от подобных зловредов, эксперты «Лаборатории Касперского» советуют следующее: ежедневно перезагружать устройство. По данным Amnesty International и Citizen Lab, Pegasus часто использует уязвимости нулевого дня. Ежедневная перезагрузка может помочь очистить память устройства, и в результате злоумышленникам придётся неоднократно проводить повторное заражение, что со временем увеличивает шансы на обнаружение; включить режим Lockdown. Уже есть публичные отчёты об успешном использовании недавно добавленного Apple режима экстремальной защиты от целенаправленных кибератак; отключить iMessage и Facetime. Злоумышленники могут эксплуатировать эти функции, включаемые по умолчанию. Если их отключить, риск стать жертвой цепочек атак с нулевым кликом значительно снижается; регулярно обновлять устройство. Устанавливать патчи для iOS сразу после их выпуска, поскольку многие наборы эксплойтов для iOS используют уязвимости, для которых уже есть исправления. Быстро обновлять устройство очень важно для того, чтобы опередить злоумышленников; регулярно проверять бэкапы и проводить системную диагностику. Обнаружить вредоносное ПО могут помочь обработка зашифрованных бэкапов и архивы системной диагностики с помощью набора MVT, а также инструментов «Лаборатории Касперского».
Поделиться
