Обзор iShutdown инструмент для обнаружения шпионской программы Pegasus на iPhone

[akok]

iShutdown – это инструмент, разработанный "Лабораторией Касперского", предназначенный для обнаружения шпионской программы Pegasus на устройствах iPhone. Он фокусируется на анализе системного лог-файла Shutdown.log, который является ключевым элементом в процессе обнаружения инфекций.

Основные характеристики и функциональность iShutdown​

• Анализ файла Shutdown.log: Этот системный лог-файл содержит информацию о каждой операции перезагрузки устройства. iShutdown анализирует записи в этом логе на предмет аномалий, которые могут указывать на наличие Pegasus или другого шпионского ПО, включая Reign и Predator.
• Обнаружение аномальных процессов: Один из ключевых признаков заражения - это наличие процессов, которые мешают нормальной перезагрузке устройства. iShutdown ищет записи о таких "зависших" процессах в лог-файле.
• Простота использования: Инструмент разработан таким образом, чтобы его могли использовать не только специалисты по кибербезопасности, но и обычные пользователи iPhone для самостоятельной проверки своих устройств.
• Совместимость с Mobile Verification Toolkit (MVT): Обнаружение заражения, выполненное с помощью iShutdown, может быть подтверждено дополнительным анализом с использованием MVT, что обеспечивает более глубокий уровень проверки.
• Минимальные требования к ресурсам: iShutdown не требует значительных вычислительных ресурсов, делая его доступным для широкого круга пользователей.

Рекомендации по использованию​

• Регулярная перезагрузка устройства: Поскольку Shutdown.log фиксирует информацию только при перезагрузке, регулярная перезагрузка устройства увеличивает вероятность обнаружения заражения.
• Обновление и анализ данных: Для обеспечения наилучшей защиты пользователи должны регулярно обновлять свои устройства и использовать iShutdown для анализа системных логов.

Как работает iShutdown:​

• Сбор данных: Пользователь должен сгенерировать архив системной диагностики (sysdiag) на своём устройстве iOS. Sysdiag можно рассматривать как набор системных журналов и баз данных, которые могут быть созданы для отладки и устранения неполадок. Метод генерации sysdiag может отличаться в разных версиях iOS. Тем не менее, этот архив можно найти в общих настройках ОС, а именно в разделе "Конфиденциальность и безопасность > Аналитика и улучшения > Данные аналитики".

• Извлечение Shutdown.log: После создания sysdiag, архив переносится на компьютер для анализа, где iShutdown извлекает файл Shutdown.log. Этот файл находится в директории “\system_logs.logarchive\Extra” внутри архива.
• Анализ лог-файла: iShutdown анализирует Shutdown.log на предмет аномальных записей. Особое внимание уделяется записям, указывающим на проблемы с завершением работы процессов во время перезагрузки, что может быть признаком вмешательства вредоносного ПО.

Примеры аномалий, обнаруживаемых iShutdown​

• Записи о процессах, которые не завершаются нормально при перезагрузке.
• Пути файлов, связанные с известными шпионскими программами, например, Pegasus.
• Чрезмерное количество уведомлений о задержке перезагрузки, что может указывать на наличие "липких" процессов, характерных для шпионского ПО.

В качестве дополнительных мер безопасности рекомендуется ежедневно перезагружать устройство, включить режим «Режим блокировки» (Lockdown), отключить iMessage и Facetime, регулярно обновлять устройство и проверять бэкапы.

Источник

Подробнее

Detecting iOS malware via Shutdown.log file

Analyzing Shutdown.log file as a lightweight method to detect indicators of infection with sophisticated iOS malware such as Pegasus, Reign and Predator.

securelist.com