Глобальна дослідницько-аналітична група Kaspersky (GReAT) розробила новий метод виявлення шпигунського програмного забезпечення Pegasus і подібного до нього складного iOS. Провайдер кібербезпеки надає загальнодоступний інструмент перевірки зараження на Github.
Шпигунське програмне забезпечення Pegasus нещодавно використовувалося в Німеччині. Щоб полегшити виявлення заражень шпигунським програмним забезпеченням, фахівці Kaspersky розробили інструмент самоперевірки для користувачів. Крім Pegasus, також виявлені шпигунські програми iOS Reign і Predator.
Експерти Kaspersky змогли розробити новий метод виявлення, оскільки вони зрозуміли, що інфекції Pegasus залишають сліди в системному журналі «Shutdown.log», який міститься в діагностичному архіві кожного мобільного пристрою iOS. Архів містить інформацію про кожен процес перезавантаження, тому аномалії зловмисного програмного забезпечення Pegasus стають видимими в журналі, щойно заражений користувач перезавантажує свій пристрій. До них належать, зокрема, шпигунське програмне забезпечення Pegasus, «липкі» процеси, які запобігають перезавантаженням, і сліди зараження, виявлені спільнотою кібербезпеки.
Пегас залишає сліди зараження
Під час аналізу Shutdown.log заражень Pegasus експерти Kaspersky знайшли шлях зараження «/private/var/db/», який відповідав шляхам інших шкідливих програм для iOS, таких як Reign і Predator. Фахівці Kaspersky вважають, що цей файл журналу може виявити інфекції, пов’язані з цими сімействами шкідливих програм.
На основі цих висновків було розроблено інструмент самоперевірки для користувачів. За допомогою сценарію The-Python3 Shutdown.log можна легше видобути, проаналізувати та проаналізувати. Інструмент є у вільному доступі на Github для macOS, Windows і Linux.
«Аналіз дампа Sysdiag — це мінімально інвазивний і ресурсефективний метод, який покладається на системні артефакти для виявлення потенційних заражень iPhone», — пояснює Махер Ямут, провідний дослідник безпеки в GReAT Kaspersky. «Використовуючи індикатор зараження з цього журналу та підтверджуючи зараження за допомогою обробки MVT (Mobile Verification Toolkit) інших артефактів iOS, журнал тепер стає частиною цілісного підходу до дослідження заражень зловмисним програмним забезпеченням iOS. Ми підтвердили узгодженість поведінки з іншими проаналізованими інфекціями Pegasus, тому ми очікуємо, що це буде надійним криміналістичним артефактом для підтримки аналізу інфекції».
Рекомендації щодо захисту від розширеного шпигунського програмного забезпечення iOS
- Щодня перезавантажуйте пристрої. Згідно з дослідженнями Amnesty International і Citizen Lab, Pegasus часто базується на непостійних експлойтах нульового дня. Регулярне перезавантаження може допомогти очистити пристрій; Тоді зловмисникам доведеться заражати його знову і знову.
- Використовуйте режим блокування, оскільки публічні звіти підтверджують його успіх у блокуванні заражень зловмисним програмним забезпеченням iOS.
Вимкніть iMessage і Facetime, які є одними з найбільш використовуваних хакерами служб, тому їх вимкнення зменшує ризик зараження ланцюжками без натискань. - Регулярно оновлюйте мобільні пристрої. Найновіші виправлення для iOS слід інсталювати негайно, оскільки багато наборів експлойтів iOS націлені на раніше виправлені вразливості.
- Не відкривайте посилання в повідомленнях, оскільки Pegasus можна поширювати за допомогою експлойтів в один клік за допомогою SMS, електронної пошти чи месенджера.
- Регулярно створюйте резервні копії та проводите діагностику системи; Інструменти Kaspersky можуть допомогти виявити зловмисне програмне забезпечення iOS.
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/