Yeni iShutdown Yöntemi, iPhone'unuzdaki Pegasus Gibi Gizli Casus Yazılımları Ortaya Çıkarıyor
Siber güvenlik araştırmacıları, NSO Group'un Pegasus'u, QuaDream'in Reign'i ve Intellexa'nın Predator'ı gibi kötü şöhretli tehditler de dahil olmak üzere Apple iOS cihazlarındaki casus yazılım belirtilerini güvenilir bir şekilde tanımlamak için iShutdown adlı "hafif bir yöntem" belirlediler.
Pegasus ile güvenliği ihlal edilen bir dizi iPhone'u analiz eden Kaspersky, enfeksiyonların tüm iOS cihazlarında bulunan ve ortam özelliklerinin yanı sıra her yeniden başlatma olayını kaydeden metin tabanlı bir sistem günlük dosyası olan "Shutdown.log" adlı bir dosyada izler bıraktığını söyledi.
Güvenlik araştırmacısı Maher Yamout, "Adli cihaz görüntüleme veya tam iOS yedeklemesi gibi daha fazla zaman alan toplama yöntemleriyle karşılaştırıldığında, Shutdown.log dosyasını almak oldukça basittir" dedi. "Günlük dosyası bir sysdiagnose (sysdiag) arşivinde depolanıyor."
Rus siber güvenlik firması, günlük dosyasında, casus yazılımla ilişkili olanlar gibi "yapışkan" işlemlerin yeniden başlatma gecikmesine neden olduğu durumları kaydeden girişleri tespit ettiğini, bazı durumlarda dörtten fazla yeniden başlatma gecikme bildiriminde Pegasus ile ilgili süreçleri gözlemlediğini söyledi.
Dahası, soruşturma, üç casus yazılım ailesi tarafından kullanılan benzer bir dosya sistemi yolunun varlığını ortaya çıkardı – Pegasus ve Reign için "/private/var/db/" ve Predator için "/private/var/tmp/" – böylece bir uzlaşma göstergesi olarak hareket ediyor.
Bununla birlikte, bu yaklaşımın başarısı, hedef kullanıcının cihazını mümkün olduğunca sık yeniden başlattığı ve sıklığı tehdit profiline göre değişen bir uyarıya bağlıdır.
Kaspersky ayrıca, ilk yeniden başlatma, son yeniden başlatma ve aylık yeniden başlatma sayısı gibi yeniden başlatma istatistiklerini getirmek için Shutdown.log ayıklamak, analiz etmek ve ayrıştırmak için bir Python komut dosyaları koleksiyonu yayınladı.
Yamout, "Bu yöntemin hafif doğası onu kolayca erişilebilir ve erişilebilir kılıyor" dedi. "Ayrıca, bu günlük dosyası girişleri birkaç yıl boyunca saklayabilir, bu da onu anormal günlük girişlerini analiz etmek ve tanımlamak için değerli bir adli eser haline getirir."
Açıklama, SentinelOne'ın KeySteal, Atomic ve JaskaGo (diğer adıyla CherryPie veya Gary Stealer) gibi macOS'u hedefleyen bilgi hırsızlarının Apple'ın XProtect adlı yerleşik antivirüs teknolojisini atlatmak için hızla uyum sağladığını ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı Phil Stokes, "Apple'ın XProtect imza veritabanını güncelleme çabalarına rağmen, bu hızla gelişen kötü amaçlı yazılım türleri kaçmaya devam ediyor" dedi. "Tehdit aktörleri hızlı bir şekilde uyum sağlayacak araçlara ve güdülere sahip olduklarından, yalnızca imza tabanlı algılamaya güvenmek yetersizdir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Concentric AI, DSPM Teknolojisini Genişletmek için 45 Milyon Dolarlık B Serisi Finansman Sağladı
Apple, Araştırmacıların Bulut Yapay Zeka Güvenliğindeki Hataları Belirlemesi için PCC Kaynak Kodunu Açıyor
Araştırmacılar, Jailbreak Yapay Zeka Modellerine 'Aldatıcı Zevk' Yöntemini Açıkladı
Meta, Birleşik Krallık'taki herkese açık Facebook ve Instagram gönderilerini kullanarak yapay zeka modellerini eğitecek
Mastercard, Tehdit İstihbarat Firması Recorded Future'ı 2,6 Milyar Dolara Satın Alacak
Telegram, OTP göndermek için numaranızı kullanmanız karşılığında premium abonelik sunar
GitHub, Geliştiricilerin Güvenlik Kusurlarını Yamalamalarına Yardımcı Olmak için Yapay Zeka Destekli Otomatik Düzeltme Aracını Başlattı
Deepfakes'ten Kötü Amaçlı Yazılıma: Yapay Zekanın Siber Saldırılarda Genişleyen Rolü