Ερευνητές ασφαλείας εντόπισαν μια μέθοδο για την ανίχνευση μολύνσεων από τα γνωστά λογισμικά κατασκοπείας Pegasus, Reign και Predator σε παραβιασμένες συσκευές Apple, όπως τα iPhone. Τα επικίνδυνα λογισμικά μπορούν να ανακαλυφθούν ελέγχοντας ένα αρχείο καταγραφής συστήματος που αποθηκεύει συμβάντα επανεκκίνησης.
Η μέθοδος αυτή παρέχει έναν νέο τρόπο για την ανίχνευση μολύνσεων από προηγμένα λογισμικά κατασκοπείας, τα οποία συχνά είναι δύσκολο να εντοπιστούν με παραδοσιακές μεθόδους. Μπορεί να προσφέρει σημαντική προστασία στους χρήστες της Apple, καθώς τους επιτρέπει να γνωρίζουν ότι οι συσκευές τους έχουν μολυνθεί από λογισμικό κατασκοπείας και να προβούν σε κατάλληλες ενέργειες για την εξάλειψή του.
Πρόκειται για το αρχείο Shutdown.log, το οποίο οι ερευνητές ανέλυσαν και εντόπισαν ανώμαλες μορφές επαναφορτωμένων λειτουργικών συστημάτων σε συσκευές που είχαν μολυνθεί από αυτά τα λογισμικά κατασκοπείας. Οι ανώμαλες αυτές μορφές επαναφοράς υποδεικνύουν την ενεργοποίηση ενός “κελύφους” (shell) που διαχειρίζεται τα λογισμικά κατασκοπείας, γεγονός που καθιστά πιο εύκολη την ανίχνευση της ύπαρξής τους.
Η Kaspersky κυκλοφόρησε σενάρια Python (γλώσσα προγραμματισμού) για να βοηθήσει στην αυτοματοποίηση της διαδικασίας ανάλυσης του αρχείου Shutdown.log και να αναγνωρίσει τα πιθανά σημάδια μόλυνσης από κακόβουλο λογισμικό με τρόπο που είναι εύκολο να αξιολογηθεί. Αυτά τα σενάρια μπορούν να αναλύσουν το αρχείο Shutdown.log και να εντοπίσουν ανώμαλες μορφές επανεκκίνησης, καθώς και άλλες ενδείξεις κακόβουλης δραστηριότητας. Τα αποτελέσματα της ανάλυσης μπορούν στη συνέχεια να αποθηκευτούν σε ένα εύκολο στη χρήση μορφότυπο, όπως το CSV ή το Excel.
Το αρχείο καταγραφής Shutdown.log δημιουργείται κατά την επανεκκίνηση της συσκευής και καταγράφει τον χρόνο που απαιτείται για την τερματισμό μιας διαδικασίας και τον αναγνωριστικό της διαδικασίας (PID). Ο αναγνωριστικός της διαδικασίας (PID) είναι ένας μοναδικός αριθμός που δίνεται σε κάθε διαδικασία που εκτελείται στη συσκευή.
Το κακόβουλο λογισμικό που μπορεί να προκαλέσει προβλήματα στην επανεκκίνηση της συσκευής, αφήνει πίσω του ψηφιακά ίχνη που μπορούν να εντοπιστούν από ειδικούς και επαληθεύουν την παραβίαση. Αυτά τα ίχνη μπορεί να είναι αλλαγές στα αρχεία καταγραφής συστήματος, προσθήκη ή αφαίρεση προγραμμάτων λογισμικού, ή αλλαγές στις ρυθμίσεις συστήματος.
Η ανάλυση αυτών των ψηφιακών αποδεικτικών στοιχείων μπορεί να βοηθήσει τους ερευνητές ασφαλείας να προσδιορίσουν την παρουσία κακόβουλου λογισμικού και να εξαλείψουν τις επιπτώσεις του.
Σύμφωνα με τους ερευνητές, η εξέταση του αρχείου Shutdown.log αποτελεί μία πολύ πιο εύκολη μέθοδο ανάλυσης σε σύγκριση με τις παραδοσιακές τεχνικές όπως η εξέταση ενός κρυπτογραφημένου αντιγράφου ασφαλείας iOS ή της κίνησης δικτύου.
Η Kaspersky δημοσίευσε τρία σενάρια Python που ονομάζονται iShutdown και τα οποία επιτρέπουν στους ερευνητές να ελέγχουν τα δεδομένα επανεκκίνησης από το αρχείο καταγραφής τερματισμού λειτουργίας iOS:
- iShutdown_detect.py – αναλύει το αρχείο Sysdiagnose που περιέχει το αρχείο καταγραφής Shutdown.log.
- iShutdown_parse.py – εξάγει τα δεδομένα από το αρχείο tar.
- iShutdown_stats.py – εκτελεί στατιστική ανάλυση των δεδομένων από το αρχείο καταγραφής.
Aπαραίτητη η συχνή επανεκκίνηση του iPhone
Επειδή το αρχείο καταγραφής Shutdown.log μπορεί να γράψει δεδομένα που περιέχουν ενδείξεις μόλυνσης μόνο εάν πραγματοποιηθεί επανεκκίνηση της συσκευής μετά από παραβίαση, η Kaspersky συνιστά να κάνετε συχνά επανεκκίνηση της συσκευής.
Η αποθήκη δεδομένων GitHub της Kaspersky περιέχει οδηγίες για το πώς να χρησιμοποιήσετε τα Python scripts που αναπτύχθηκαν από την εταιρεία. Τα scripts αυτά μπορούν να χρησιμοποιηθούν για την ανίχνευση κακόβουλου λογισμικού σε συσκευές iOS. Ωστόσο, για να αξιολογήσετε σωστά τα αποτελέσματα των scripts, θα πρέπει να έχετε κάποια εμπειρία με την Python, το iOS, την εξαγωγή από το terminal και τα στοιχεία κακόβουλου λογισμικού.
Τα αρχεία Sysdiagnose είναι αρχεία .tar.gz 200-400 MB που χρησιμοποιούνται για την αντιμετώπιση προβλημάτων σε συσκευές iOS και iPadOS, που περιέχουν πληροφορίες σχετικά με τη συμπεριφορά του λογισμικού, τις επικοινωνίες δικτύου και άλλα.
Η Kaspersky χρησιμοποίησε αρχικά τη μέθοδο για να αναλύσει τα iPhone που είχαν μολυνθεί με λογισμικό υποκλοπής Pegasus και έλαβε την ένδειξη μόλυνσης στο αρχείο καταγραφής, η οποία επιβεβαιώθηκε χρησιμοποιώντας το εργαλείο MVT που αναπτύχθηκε από τη Διεθνή Αμνηστία.
Οι ερευνητές σημειώνουν ότι η μέθοδός τους αποτυγχάνει εάν ο χρήστης δεν επανεκκινήσει τη συσκευή την ημέρα της μόλυνσης. Μια άλλη παρατήρηση είναι ότι το αρχείο καταγραφής καταχωρείται όταν καθυστερεί μια επανεκκίνηση, όπως στην περίπτωση μιας διαδικασίας που σχετίζεται με το Pegasus που εμποδίζει τη διαδικασία.
Ενώ μπορεί να συμβεί σε μη μολυσμένα τηλέφωνα, οι ερευνητές της Kaspersky πιστεύουν ότι περισσότερες από τέσσερις καθυστερήσεις, οι οποίες θεωρούνται υπερβολικές, είναι μια ανωμαλία καταγραφής που πρέπει να διερευνηθεί.
Κατά τη δοκιμή της μεθόδου σε ένα iPhone μολυσμένο με το λογισμικό υποκλοπής Reign, οι ερευνητές παρατήρησαν ότι η εκτέλεση κακόβουλου λογισμικού προήλθε από το “/private/var/db/”, δηλαδή είχε την ίδια διαδρομή όπως στην περίπτωση του Pegasus. Μια παρόμοια διαδρομή που φαίνεται στο αρχείο καταγραφής Shutdown χρησιμοποιείται επίσης συχνά από το λογισμικό κατασκοπείας Predator.
Με βάση αυτό, οι ερευνητές της Kaspersky πιστεύουν ότι η χρήση του “αρχείου καταγραφής μπορεί να βοηθήσει στον εντοπισμό μολύνσεων από αυτές τις κατηγορίες κακόβουλου λογισμικού”, με την προϋπόθεση ότι το θύμα επανεκκινεί αρκετά συχνά το τηλέφωνό του.