Эксперты Глобального центра исследований и анализа угроз (GReAT) создали новый метод обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО, такимкак Pegasus,Reign и Predator. Специалисты разработали несложный инструмент для поиска ранее неизвестных следов в Shutdown.log, чтобы пользователи могли самостоятельно проверить свои устройства iPhone.
Исследователи «Лаборатории Касперского» обнаружили новые признаки заражения Pegasusв системном логе,Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с вредоносным ПО Pegasus, проявляются влоге, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке, связанные с Pegasus, а также другие следы заражения, выявленные другими участниками сообщества по кибербезопасности.
«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путём обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию заражений iOS. Более того, мы подтвердили последовательность этого поведения в других заражениях Pegasus, которые мы анализировали, и полагаем, что это послужит надёжным артефактом при дальнейшем изучении процесса заражения», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Проанализировав Shutdown.log в инцидентах Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионского ПО на своих устройствах, эксперты «Лаборатории Касперского» разработали специальную утилиту, которая облегчает обнаружение, анализ и парсинг артефактов Shutdown.log.
Шпионское ПО под iOS, такое как Pegasus, отличается высоким уровнем сложности. Чтобы обезопасить устройства от подобных зловредов, эксперты «Лаборатории Касперского» советуют следующее:
·Ежедневно перезагружать устройство.По данным Amnesty International и CitizenLab, Pegasus часто использует уязвимости нулевого дня. Ежедневная перезагрузка может помочь очистить память устройства, и в результате злоумышленникам придётся неоднократно проводить повторное заражение, чтосовременем увеличивает шансы на обнаружение.
·Включить режим Lock down.Уже есть публичные отчёты об успешном использовании недавно добавленного Apple режима экстремальной защиты от целенаправленных кибератак.
·Отключить iMessage и Facetime.Злоумышленники могут эксплуатировать эти функции, включаемые по умолчанию.Если их отключить, риск стать жертвой цепочек атак с нулевым кликом значительно снижается.
·Регулярно обновлять устройство.Устанавливать патчи для iOS сразу после их выпуска, поскольку многие наборы эксплойтов для iOS используют уязвимости, для которых уже есть исправления. Быстро обновлять устройство очень важно длятого, чтобы опередить злоумышленников.
·Регулярно проверять бэкапы и проводить системную диагностику.Обнаружить вредоносное ПО могут помочь обработка зашифрованных бэкапов и архивы системной диагностики с помощью набора MVT, а также инструментов «Лаборатории Касперского».
Ознакомиться с более подробной информацией о новых методах обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО можно по ссылке:https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/.
Алиев посетил Габалинский район
Алиев и Эрдоган обменялись мнениями по перспективам сотрудничества между Азербайджаном и Турцией
AccessBank объявляет Тендер по закупке системы управления очередью - QMatic
Алиев открыл Дворец спорта в Гяндже
Алиев открыл дорогу в Гаджикабульском районе
ИВ Нефтчалы направит свыше 1,6 млн манатов на работы по благоустройству в городе
Объем золота в ETF в марте сократился еще на 14 т - WGC
США и Британия разместят четыре атомные подлодки в Австралии
Ирландский парламент избрал премьером страны Саймона Харриса
В новый стратегический период Yelo укрепит свои позиции как инновационный банк
Депозитный портфель AccessBank к 2025 году увеличится до 1,1 млрд манатов – Илькин Гулиев
Переломный момент: Взгляд частного сектора на реанимацию железнодорожного транзита Азербайджана
Yelo Bank поддержал первую конференцию «Customer Tech»
Банк Республика награжден за активное участие в донорстве крови
Azerconnect Group и Vodafone Group подписали соглашение о партнерстве
Нефтегазовая выставка Caspian Oil&Gas пройдет в Баку в июне
В Азербайджан в октябре пройдет ICCA Venue Business Workshop International
Уникальный 2023 год: карабахский узел разрублен
ИТОГИ ГОДА: Американцы покупают, европейцы копят силы, или нефть снова в моде
Как реализовать потенциал зрелых месторождений Азербайджана: смена парадигмы