Yeni iShutdown Yöntemi, iPhone'unuzdaki Pegasus Gibi Gizli Casus Yazılımları Ortaya Çıkarıyor

Pegasus ile güvenliği ihlal edilen bir dizi iPhone'u analiz eden Kaspersky, enfeksiyonların tüm iOS cihazlarında bulunan ve ortam özelliklerinin yanı sıra her yeniden başlatma olayını kaydeden metin tabanlı bir sistem günlük dosyası olan "Shutdown.log" adlı bir dosyada izler bıraktığını söyledi.

Güvenlik araştırmacısı Maher Yamout, "Adli cihaz görüntüleme veya tam iOS yedeklemesi gibi daha fazla zaman alan toplama yöntemleriyle karşılaştırıldığında, Shutdown.log dosyasını almak oldukça basittir" dedi. "Günlük dosyası bir sysdiagnose (sysdiag) arşivinde depolanıyor."

Rus siber güvenlik firması, günlük dosyasında, casus yazılımla ilişkili olanlar gibi "yapışkan" işlemlerin yeniden başlatma gecikmesine neden olduğu durumları kaydeden girişleri tespit ettiğini, bazı durumlarda dörtten fazla yeniden başlatma gecikme bildiriminde Pegasus ile ilgili süreçleri gözlemlediğini söyledi.

Dahası, soruşturma, üç casus yazılım ailesi tarafından kullanılan benzer bir dosya sistemi yolunun varlığını ortaya çıkardı – Pegasus ve Reign için "/private/var/db/" ve Predator için "/private/var/tmp/" – böylece bir uzlaşma göstergesi olarak hareket ediyor.

Bununla birlikte, bu yaklaşımın başarısı, hedef kullanıcının cihazını mümkün olduğunca sık yeniden başlattığı ve sıklığı tehdit profiline göre değişen bir uyarıya bağlıdır.

Kaspersky ayrıca, ilk yeniden başlatma, son yeniden başlatma ve aylık yeniden başlatma sayısı gibi yeniden başlatma istatistiklerini getirmek için Shutdown.log ayıklamak, analiz etmek ve ayrıştırmak için bir Python komut dosyaları koleksiyonu yayınladı.

Yamout, "Bu yöntemin hafif doğası onu kolayca erişilebilir ve erişilebilir kılıyor" dedi. "Ayrıca, bu günlük dosyası girişleri birkaç yıl boyunca saklayabilir, bu da onu anormal günlük girişlerini analiz etmek ve tanımlamak için değerli bir adli eser haline getirir."

Açıklama, SentinelOne'ın KeySteal, Atomic ve JaskaGo (diğer adıyla CherryPie veya Gary Stealer) gibi macOS'u hedefleyen bilgi hırsızlarının Apple'ın XProtect adlı yerleşik antivirüs teknolojisini atlatmak için hızla uyum sağladığını ortaya çıkarmasıyla geldi.

Güvenlik araştırmacısı Phil Stokes, "Apple'ın XProtect imza veritabanını güncelleme çabalarına rağmen, bu hızla gelişen kötü amaçlı yazılım türleri kaçmaya devam ediyor" dedi. "Tehdit aktörleri hızlı bir şekilde uyum sağlayacak araçlara ve güdülere sahip olduklarından, yalnızca imza tabanlı algılamaya güvenmek yetersizdir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği