Siber güvenlik araştırmacıları, Pegasus‘a benzer, QuaDream’in Reign’i ve Intellexa’nın Predator’ü gibi kötü şöhretli tehditler de dahil olmak üzere Apple iOS cihazlarındaki casus yazılım belirtilerini güvenilir bir şekilde tanımlamak için iShutdown adlı “hafif bir yöntem” belirledi.
Pegasus ile ele geçirilmiş bir dizi iPhone’u analiz eden Kaspersky, virüslerin tüm iOS cihazlarında bulunan ve her yeniden başlatma olayını ortam özellikleriyle birlikte kaydeden metin tabanlı bir sistem günlüğü dosyası olan “Shutdown.log” adlı bir dosyada izler bıraktığını söyledi.
Güvenlik araştırmacısı Maher Yamout, “Adli cihaz görüntüleme veya tam bir iOS yedeklemesi gibi daha fazla zaman alan yöntemle karşılaştırıldığında, Shutdown.log dosyasını almak oldukça basittir” dedi. “Günlük dosyası bir sysdiagnose (sysdiag) arşivinde saklanıyor.”
Rus siber güvenlik firması, günlük dosyasında casus yazılımla ilişkili olanlar gibi “sticky” süreçlerin yeniden başlatma gecikmesine neden olduğu durumları kaydeden girişler tespit ettiğini, bazı durumlarda Pegasus ile ilgili süreçlerin dörtten fazla yeniden başlatma gecikmesi bildiriminde gözlemlendiğini söyledi.
Dahası, araştırma, üç casus yazılım ailesi tarafından da kullanılan benzer bir dosya sistemi yolunun varlığını ortaya çıkardı – Pegasus ve Reign için “/private/var/db/” ve Predator için “/private/var/tmp/” – böylece bir uzlaşma göstergesi olarak hareket etti.
Bununla birlikte, bu yaklaşımın başarısı, hedef kullanıcının cihazını mümkün olduğunca sık yeniden başlatmasına bağlı ve bu sıklık tehdit profiline göre değişiyor.
Kaspersky ayrıca, yeniden başlatma istatistiklerini çıkarmak amacıyla Shutdown.log dosyasını ayıklamak, analiz etmek ve ayrıştırmak için bir Python komut dosyası koleksiyonu yayınladı.
Yamout, “Bu yöntemin hafif olması, kolayca kullanılabilir ve erişilebilir olmasını sağlıyor,” dedi. “Dahası, bu günlük dosyası girdileri birkaç yıl boyunca saklayabilir, bu da onu anormal günlük girdilerini analiz etmek ve tanımlamak için değerli bir eser haline getirir.”
Bu açıklama, SentinelOne’ın KeySteal, Atomic ve JaskaGo (diğer adıyla CherryPie veya Gary Stealer) gibi macOS’u hedef alan bilgi hırsızlarının Apple’ın XProtect adlı yerleşik antivirüs teknolojisini atlatmak için hızla adapte olduklarını ortaya çıkarmasıyla birlikte geldi.
Güvenlik araştırmacısı Phil Stokes, “Apple’ın XProtect imza veritabanını güncellemek için gösterdiği yoğun çabalara rağmen, hızla gelişen bu kötü amaçlı yazılım türleri çıkmaya devam ediyor,” dedi.
