Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

www.tuoitre.vn -   17/01/2024 08:00:00 150

Các nhà nghiên cứu an ninh mạng đã xác định được một "phương pháp nhẹ nhàng" có tên iShutdown để xác định các dấu hiệu phần mềm gián điệp trên thiết bị iOS của Apple một cách đáng tin cậy, bao gồm các mối đe dọa khét tiếng như Pegasus của NSO Group, Reign của QuaDream và Predator của Intellexa.

Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

Kaspersky, đã phân tích một bộ iPhone bị xâm nhập bằng Pegasus, cho biết sự lây nhiễm đã để lại dấu vết trong một tệp có tên "Shutdown.log", một tệp nhật ký hệ thống dựa trên văn bản có sẵn trên tất cả các thiết bị iOS và ghi lại mọi sự kiện khởi động lại cùng với môi trường của nó.

Nhà nghiên cứu bảo mật Maher Yamout cho biết: “So với các phương pháp thu thập tốn nhiều thời gian hơn như chụp ảnh thiết bị pháp y hoặc sao lưu toàn bộ iOS, việc truy xuất tệp Shutdown.log khá đơn giản”. "Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag)."

Công ty an ninh mạng Nga cho biết họ đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các quy trình "dính", chẳng hạn như các quy trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, quan sát thấy các quy trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.

Hơn nữa, cuộc điều tra còn tiết lộ sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng – “/private/var/db/” cho Pegasus và Reign, và “/private/var/tmp/” cho Predator – do đó đóng vai trò như một dấu hiệu của sự thỏa hiệp.

Điều đó nói lên rằng, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi tùy theo hồ sơ mối đe dọa của họ.

Kaspersky cũng đã xuất bản một bộ sưu tập các tập lệnh Python để trích xuất, phân tích và phân tích Shutdown.log nhằm lấy số liệu thống kê khởi động lại, chẳng hạn như lần khởi động lại đầu tiên, lần khởi động lại cuối cùng và số lần khởi động lại mỗi tháng.

Yamout cho biết: “Bản chất nhẹ của phương pháp này khiến nó trở nên sẵn có và dễ tiếp cận”. "Hơn nữa, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một tạo phẩm pháp y có giá trị để phân tích và xác định các mục nhật ký bất thường."

Tiết lộ này được đưa ra khi SentinelOne tiết lộ những kẻ đánh cắp thông tin nhắm mục tiêu vào macOS như KeySteal, Atomic và JaskaGo (còn gọi là CherryPie hoặc Gary Stealer) đang nhanh chóng thích nghi để phá vỡ công nghệ chống vi-rút tích hợp của Apple có tên XProtect.

Nhà nghiên cứu bảo mật Phil Stokes cho biết: “Bất chấp những nỗ lực vững chắc của Apple trong việc cập nhật cơ sở dữ liệu chữ ký XProtect của mình, những chủng phần mềm độc hại phát triển nhanh chóng này vẫn tiếp tục lẩn tránh”. “Chỉ dựa vào phát hiện dựa trên dấu hiệu là không đủ vì các tác nhân đe dọa có phương tiện và động cơ để thích ứng nhanh chóng.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 81
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 74
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 192
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 159
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 43
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 34
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

LIÊN HỆ

Thông tin liên hệ