«Лаборатория Касперского» разработала новый метод обнаружения шпионской программы Pegasus на iPhone
Эксперты Глобального центра исследований и анализа угроз (GReAT) создали новый метод обнаружения индикаторов заражения устройств наiOSсложным шпионским ПО, такимкакPegasus,ReignиPredator. Специалистыразработали несложныйинструментдляпоиска ранее неизвестных следов в Shutdown.log, чтобы пользователи могли самостоятельно проверить свои устройстваiPhone.
Исследователи «Лаборатории Касперского» обнаружили новые признаки зараженияPegasusв системном логе,Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства наiOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с вредоносным ПОPegasus, проявляются влоге, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке, связанные сPegasus, а также другие следы заражения, выявленные другими участниками сообщества по кибербезопасности.
«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путём обработки других артефактовiOSспомощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию зараженийiOS. Более того, мы подтвердили последовательность этого поведения в других зараженияхPegasus, которые мы анализировали, и полагаем, что это послужит надёжным артефактом при дальнейшем изучении процесса заражения», — комментирует ИгорьКузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Проанализировав Shutdown.log в инцидентахPegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям,которые были выявлены в зараженияхiOSдругим вредоносным ПО, таким как ReignиPredator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионского ПО на своих устройствах, эксперты «ЛабораторииКасперского» разработали специальнуюутилиту, которая облегчает обнаружение, анализ и парсинг артефактовShutdown.log.
Шпионское ПО подiOS, такое какPegasus, отличается высоким уровнем сложности. Чтобыобезопасить устройства от подобных зловредов, эксперты «Лаборатории Касперского» советуют следующее:
·Ежедневно перезагружать устройство.По даннымAmnestyInternationalиCitizenLab,Pegasusчасто использует уязвимости нулевого дня. Ежедневная перезагрузка может помочь очистить память устройства, и в результате злоумышленникам придётся неоднократно проводить повторное заражение, чтосовременем увеличивает шансы на обнаружение.
·Включить режимLockdown.Уже есть публичные отчёты об успешном использовании недавно добавленногоAppleрежима экстремальной защиты от целенаправленных кибератак.
·ОтключитьiMessageиFacetime.Злоумышленники могут эксплуатировать эти функции, включаемые по умолчанию.Если их отключить, риск стать жертвой цепочек атак с нулевым кликом значительно снижается.
·Регулярно обновлять устройство.Устанавливать патчи дляiOSсразу после их выпуска, поскольку многие наборы эксплойтов дляiOSиспользуют уязвимости, длякоторых уже есть исправления. Быстро обновлять устройство очень важно длятого, чтобы опередить злоумышленников.
·Регулярно проверять бэкапы и проводить системную диагностику.Обнаружить вредоносное ПО могут помочь обработка зашифрованных бэкапов и архивы системной диагностики с помощью набораMVT, а такжеинструментов «ЛабораторииКасперского».
Ознакомиться с более подробной информацией о новых методах обнаружения индикаторов заражения устройств наiOSсложным шпионским ПО можно по ссылке:https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/.