Специалисты описали процесс поиска вируса с помощью журнала в iOS.
Специалисты Лаборатории Касперского рассказали о своем опыте анализа iOS-устройств, зараженных шпионским ПО Pegasus израильской компании NSO Group. Было обнаружено, что вредоносные программы оставляют следы в системном файле журнала Shutdown.log. Разработанный метод может помочь обнаружить не только Pegasus, но и другие вредоносные программы, такие как Reign от компании QuaDream и Predator от Cytrox, которые используют схожие пути в файловой системе.
Shutdown.log — это текстовый лог-файл, который создается на iOS-устройствах при каждой перезагрузке. В нем записывается информация о процессах, которые запущены в момент перезагрузки, их идентификаторах и путях в файловой системе. Если какой-то процесс мешает нормальной перезагрузке, то это также отмечается в лог-файле. Эксперты Лаборатории Касперского заметили, что вредоносные программы часто запускаются из папок «/private/var/db/» или «/private/var/tmp/», и эти пути можно увидеть в Shutdown.log.
Фрагмент из файла Shutdown.log
Для того, чтобы получить лог-файл, нужно сгенерировать архив sysdiag, который содержит различные системные логи и базы данных. Это можно сделать в настройках iOS, в разделе «Настройки» > «Конфиденциальность и безопасность» > «Аналитика и улучшения». Архив sysdiag имеет размер около 200-400 МБ и может быть передан на анализирующий компьютер. После распаковки архива файл Shutdown.log находится в папке «\system_logs.logarchive\Extra».
Лаборатория Касперского создала несколько скриптов на Python3, которые помогают извлекать и анализировать файл Shutdown.log. С помощью скриптов можно обнаружить аномалии в лог-файле – запущенные вредоносные процессы, задержки перезагрузки или необычные пути в файловой системе. Скрипты также могут преобразовать лог-файл в формат CSV, декодировать временные метки и сгенерировать сводку анализа.
Обнаружение экземпляра вредоносного ПО Pegasus
Специалисты подчеркивают, что анализ файла Shutdown.log не является универсальным способом обнаружения всех вредоносных программ на iOS-устройствах, и что такой метод зависит от того, как часто пользователь перезагружает свое устройство. Они также продолжают изучать лог-файл более подробно и на разных платформах, и надеются создать больше эвристик из его записей.
Лаборатория Касперского призывает пользователей, которые имеют интересные образцы, способные помочь исследованию, связаться с компанией по адресу intelreports@kaspersky.com . Исследователи уверяют, что файл Shutdown.log не содержит никакой личной информации, поэтому его можно безопасно передавать для анализа.
Отметим, что борьбу с вредоносным ПО путем перезагрузки смартфона ранее упоминала команда разработчиков GrapheneOS, создавшая одноимённую операционную систему для Android, ориентированную на конфиденциальность и безопасность. Специалисты предложили ввести функцию автоматической перезагрузки в Android, которая усложнит эксплуатацию уязвимостей прошивки.
Первое — находим постоянно, второе — ждем вас