Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), Pegasus ve benzer gelişmiş iOS casus yazılımları için yeni bir algılama yöntemi geliştirdi. Siber güvenlik sağlayıcısı, Github'da halka açık bir enfeksiyon kontrol aracı sağlıyor.
Pegasus casus yazılımı yakın zamanda Almanya'da kullanıldı. Kaspersky uzmanları, casus yazılım bulaşmalarını tanımlamayı kolaylaştırmak amacıyla kullanıcılar için bir kendi kendini kontrol aracı geliştirdi. Pegasus'un yanı sıra iOS casus yazılımı Reign ve Predator da tespit edildi.
Kaspersky uzmanları yeni tespit yöntemini geliştirmeyi başardı çünkü Pegasus enfeksiyonlarının her mobil iOS cihazının teşhis arşivinde bulunan "Shutdown.log" sistem günlüğünde iz bıraktığını fark ettiler. Arşiv, her yeniden başlatma işlemiyle ilgili bilgiler içerir; böylece Pegasus kötü amaçlı yazılım anormallikleri, virüs bulaşmış bir kullanıcı cihazını yeniden başlattığı anda günlükte görünür hale gelir. Bunlar, diğer şeylerin yanı sıra, özellikle Pegasus casus yazılımında, yeniden başlatmaları ve siber güvenlik topluluğu tarafından keşfedilen enfeksiyon izlerini önleyen "yapışkan" süreçleri içerir.
Pegasus enfeksiyon izleri bırakıyor
Pegasus enfeksiyonlarının Shutdown.log'unu analiz eden Kaspersky uzmanları, Reign ve Predator gibi diğer iOS kötü amaçlı yazılımlarının yollarına karşılık gelen "/private/var/db/" enfeksiyon yolunu buldu. Kaspersky uzmanları, bu günlük dosyasının bu kötü amaçlı yazılım aileleriyle ilgili enfeksiyonları belirleme potansiyeline sahip olduğuna inanıyor.
Bu bulgulara dayanarak kullanıcılar için bir kendi kendini kontrol aracı geliştirildi. The-Python3 betiğinin yardımıyla Shutdown.log dosyası daha kolay bir şekilde çıkarılabilir, analiz edilebilir ve ayrıştırılabilir. Araç, macOS, Windows ve Linux için Github'da ücretsiz olarak mevcuttur.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Maher Yamout şöyle açıklıyor: "Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını belirlemek için sistem tabanlı yapay yapılara dayanan, minimal düzeyde müdahaleci ve kaynak açısından verimli bir yöntemdir." "Bu günlükteki bulaşma göstergesini kullanarak ve diğer iOS yapıtlarının MVT (Mobil Doğrulama Araç Takımı) işlenmesini kullanarak bulaşmayı onaylayan günlük, artık iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel bir yaklaşımın parçası haline geliyor. Analiz edilen diğer Pegasus enfeksiyonlarıyla davranışsal tutarlılığı doğruladık, bu nedenle enfeksiyon analizini destekleyecek güvenilir bir adli eser olarak hizmet etmesini bekliyoruz."
Gelişmiş iOS casus yazılımlarına karşı koruma önerileri
- Cihazları günlük olarak yeniden başlatın. Uluslararası Af Örgütü ve Citizen Lab'ın araştırmasına göre Pegasus genellikle kalıcı olmayan sıfır tıklama sıfır gün istismarlarına dayanıyor. Düzenli olarak yeniden başlatmak cihazın temizlenmesine yardımcı olabilir; Saldırganların virüsü tekrar tekrar enfekte etmesi gerekecek.
- Herkese açık raporlar, iOS kötü amaçlı yazılım bulaşmalarını engellemedeki başarısını kanıtladığı için kilitleme modunu kullanın.
Bilgisayar korsanlarının en çok yararlandığı hizmetler arasında yer alan iMessage ve Facetime'ı devre dışı bırakın; böylece bunları devre dışı bırakmak, sıfır tıklama zincirlerinden etkilenme riskini azaltır. - Mobil cihazları düzenli olarak güncelleyin. Birçok iOS istismar kiti önceden yamalanmış güvenlik açıklarını hedef aldığından, en yeni iOS yamaları hemen kurulmalıdır.
- Pegasus, SMS, e-posta veya messenger yoluyla tek tıklamayla dağıtılabileceğinden mesajlardaki bağlantıları açmayınız.
- Düzenli olarak yedeklemeler oluşturun ve sistem teşhislerini gerçekleştirin; Kaspersky araçları, iOS kötü amaçlı yazılımlarının tespit edilmesine yardımcı olabilir.
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi