Nowe narzędzie dla systemu iOS do wykrywania infekcji wywołanych oprogramowaniem szpiegującym

Zanim zaczniemy od opisu znaleziska i oprogramowania warto wspomnieć o niewidzialnym exploicie, którym zhakowano iPhone’y. Pisaliśmy o tym w czerwcu 2023. Exploit został odkryty i zanalizowany przez badaczy Kaspersky’ego. Tym razem opracowali oni lekką metodę wykrywania wskaźników infekcji  wyrafinowanym oprogramowaniem szpiegującym dla systemu iOS, takim jak Pegasus firmy NSO Group, Reign firmy QuaDream czy Predator firmy Intellexa, poprzez analizę pliku dziennika utworzonego na urządzeniach z systemem iOS.

Analiza pliku Shutdown.log

Eksperci odkryli, że infekcje Pegasusem pozostawiają ślady w nieoczekiwanym dzienniku systemowym „Shutdown.log”, przechowywanym w archiwum sysdiagnose dowolnego urządzenia mobilnego z systemem iOS. W archiwum tym zapisywane są informacje z każdej sesji ponownego uruchamiania, co oznacza, że anomalie związane ze złośliwym oprogramowaniem Pegasus stają się widoczne w dzienniku, jeśli zainfekowany użytkownik ponownie uruchomi swoje urządzenie.

Wśród zidentyfikowanych znalazły się przypadki „lepkich” procesów utrudniających ponowne uruchomienie, szczególnie tych powiązanych z Pegasusem, a także ślady infekcji wykryte w wyniku obserwacji społeczności zajmujących się cyberbezpieczeństwem.

„Analiza zrzutu sysdiag okazuje się minimalnie inwazyjna i nie wymaga dużych zasobów, gdyż opiera się na artefaktach systemowych w celu identyfikacji potencjalnych infekcji iPhone’a. Po otrzymaniu w tym dzienniku wskaźnika infekcji i potwierdzeniu infekcji za pomocą narzędzia Mobile Verification Toolkit (MVT) do przetwarzania innych artefaktów iOS, dziennik ten staje się teraz częścią całościowego podejścia do badania infekcji złośliwym oprogramowaniem dla systemu iOS” – podaje Maher Yamout, główny badacz ds. bezpieczeństwa w firmie Kaspersky Globalny Zespół Badań i Analiz (GReAT). „Ponieważ potwierdziliśmy zgodność tego zachowania z innymi analizowanymi przez nas infekcjami Pegasusa, wierzymy, że posłuży ono jako niezawodny artefakt kryminalistyczny wspierający analizę infekcji”.

Analizując plik Shutdown.log w infekcjach Pegasusa, eksperci Kaspersky’ego zaobserwowali wspólną ścieżkę infekcji, w szczególności „/private/var/db/”, odzwierciedlającą ścieżki obserwowane w infekcjach wywoływanych przez inne szkodliwe oprogramowanie dla systemu iOS, takie jak Reign i Predator. Badacze firmy sugerują, że ten plik dziennika może potencjalnie identyfikować infekcje związane z tymi rodzinami złośliwego oprogramowania.

Aplikacja iShutdown

W celu ułatwienia wyszukiwania infekcji programami szpiegującymi, eksperci Kaspersky’ego opracowali dla użytkowników narzędzie do automatycznego sprawdzania. Skrypty Python3 ułatwiają wyodrębnianie oraz analizę artefaktu Shutdown.log. Narzędzie jest dostępne publicznie na GitHubie dla systemów macOS, Windows i Linux.

Każdy ze skryptów pełni inną rolę pomocniczą w analizie archiwum Sysdiagnose lub pliku Shutdown.log:

• iShutdown_detect.py: przeznaczony do analizowania archiwum tar Sysdiagnose pod kątem nietypowych wpisów, które mogą wskazywać na potencjalny wskaźnik złośliwego oprogramowania. Ten proces nie wyodrębnia docelowego artefaktu Shutdown.log, a proces wykrywania/analizy odbywa się w tle.
• iShutdown_parse.py: przeznaczony do wyodrębnienia artefaktu Shutdown.log z docelowego archiwum tar Sysdiagnose i przeanalizowania go. Dane wyjściowe to plik CSV zawierający wpisy w czytelnym formacie wraz ze skrótami artefaktu (MD5, SHA1, SHA256) i znacznikami czasu przetwarzania.
• iShutdown_stats.py: przeznaczony do wyodrębniania statystyk ponownego uruchamiania z docelowego artefaktu Shutdown.log – na przykład pierwsze ponowne uruchomienie, ostatnie ponowne uruchomienie, ponowne uruchomienia w skali miesiąca itp.

Jak zapobiec infekcji oprogramowaniem szpiegującym dla systemu iOS?

Oprogramowanie szpiegowskie dla systemu iOS, takie jak Pegasus, jest bardzo zaawansowane. Chociaż społeczność cybernetyczna nie zawsze uniemożliwia skuteczne wykorzystanie luki, użytkownicy mogą podjąć kroki, aby utrudnić atakującym zadanie.

W celu zabezpieczenia się przed zaawansowanym oprogramowaniem szpiegującym w systemie iOS, eksperci z Kaspersky’ego zalecają następujące rozwiązania:

• Codziennie restartuj telefon. Według badań przeprowadzonych przez Amnesty International i Citizen Lab, Pegasus często wykorzystuje jednorazową infekcję poprzez kliknięcie użytkownika na link z wykorzystaniem zero-daya i nie jest trwały w systemie. Regularne, codzienne ponowne uruchamianie smartfona może pomóc w jego wyczyszczeniu, co powoduje, że atakujący muszą wielokrotnie ponownie go infekować, co z czasem zwiększa szanse na wykrycie.
• Stosuj tryb blokady. Pojawiło się kilka publicznych raportów na temat powodzenia nowo dodanego przez firmę Apple trybu blokady w blokowaniu infekcji złośliwym oprogramowaniem dla systemu iOS.
• Wyłącz iMessage i Facetime. iMessage, domyślnie włączone, jest atrakcyjnym wektorem wykorzystania. Wyłączenie tej opcji zmniejsza ryzyko zostania ofiarą łańcuchów zerowego kliknięcia. Ta sama rada dotyczy Facetime, kolejnego potencjalnego wektora wykorzystania.
• Aktualizuj urządzenie. Niezwłocznie instaluj najnowsze łatki dla systemu iOS, ponieważ wiele zestawów exploitów dla systemu iOS atakuje już załatane luki w zabezpieczeniach. Szybkie aktualizacje mają kluczowe znaczenie, jeśli chcesz wyprzedzić niektórych atakujących na poziomie państw narodowych, którzy mogą wykorzystać opóźnione aktualizacje.
• Zachowaj ostrożność w przypadku linków. Unikaj klikania linków otrzymanych w wiadomościach, ponieważ klienci Pegasusa mogą skorzystać z exploitów jednego kliknięcia dostarczanych za pośrednictwem wiadomości SMS, innych komunikatorów lub e-maili.
• Regularnie sprawdzaj kopie zapasowe i diagnostykę sysdiag. Przetwarzanie zaszyfrowanych kopii zapasowych i archiwów Sysdiagnose przy użyciu narzędzi MVT i Kaspersky może pomóc w wykryciu złośliwego oprogramowania dla systemu iOS.

Stosując powyższe praktyki jaka swoistą rutynę, użytkownicy mogą wzmocnić swoją ochronę przed zaawansowanym oprogramowaniem szpiegującym dla systemu iOS i zmniejszyć ryzyko skutecznych ataków.