GReAT, daha önce keşfedilmemiş bir adli tıp vakası olan Shutdown.log’u analiz ederek Pegasus, Reign ve Predator gibi gelişmiş iOS casus yazılımlarından bulaşma göstergelerini tespit etmek için yeni bir yöntem geliştirdi.

Güvenlik uzmanları, Pegasus enfeksiyonlarının herhangi bir mobil iOS cihazının sysdiagnose arşivinde saklanan Shutdown.log adlı sistem günlüğünde beklenmedik izler bıraktığını keşfetti. Bu arşiv her yeniden başlatma sırasında oturum bilgilerini saklıyor. Yani virüs bulaşmış bir kullanıcı cihazını yeniden başlattığında Pegasus kötü amaçlı yazılımıyla ilişkili anomaliler günlük kaydında görünür hale geliyor. Yapılan tespitler arasında özellikle Pegasus ile bağlantılı olanlar olmak üzere, yeniden başlatmayı engelleyen “yapışkan” süreçlerin yanı sıra siber güvenlik topluluğunun gözlemleri yoluyla keşfedilen enfeksiyon izleri de yer alıyordu. Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı kalıntılara dayanarak minimum düzeyde müdahaleci ve kaynak kullanımı açısından hafif olduğunu kanıtlıyor. Pegasus  Günlükteki bulaşma göstergesini aldıktan ve Mobile Verification Toolkit’i (MVT) diğer iOS araçlarını kullanarak bulaşmayı doğruladıktan sonra, günlük kayıtları iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel yaklaşımın bir parçası haline geldi.  Pegasus enfeksiyonlarındaki Shutdown.log dosyasını inceleyen güvenlik uzmanları, Reign ve Predator gibi diğer iOS zararlı yazılımlarının neden olduğu enfeksiyonlarda da görülen, özellikle “/private/var/db/” olmak üzere ortak bir enfeksiyon yolu gözlemledi. Güvenlik araştırmacıları, günlük dosyasının bu gibi kötü amaçlı yazılım aileleriyle ilgili bulaşmaları da tanımlama potansiyeline sahip olduğuna inanıyor. Kaspersky uzmanları, casus yazılım bulaşmalarını anlamayı kolaylaştırmak için bir otomatik kontrol aracı geliştirdi. Python3 komut dosyaları, Shutdown.log yapıtının çıkarılmasını, analiz edilmesini ve ayrıştırılmasını kolaylaştırıyor. Araç GitHub’da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için kullanılabiliyor.
Kaynak: TELE1