Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

www.tuoitre.vn -   17/01/2024 08:00:00 423

Các nhà nghiên cứu an ninh mạng đã xác định được một "phương pháp nhẹ nhàng" có tên iShutdown để xác định các dấu hiệu phần mềm gián điệp trên thiết bị iOS của Apple một cách đáng tin cậy, bao gồm các mối đe dọa khét tiếng như Pegasus của NSO Group, Reign của QuaDream và Predator của Intellexa.

Giải pháp iShutdown mới phát hiện các phần mềm gián điệp ẩn như Pegasus trên iPhone

Kaspersky, đã phân tích một bộ iPhone bị xâm nhập bằng Pegasus, cho biết sự lây nhiễm đã để lại dấu vết trong một tệp có tên "Shutdown.log", một tệp nhật ký hệ thống dựa trên văn bản có sẵn trên tất cả các thiết bị iOS và ghi lại mọi sự kiện khởi động lại cùng với môi trường của nó.

Nhà nghiên cứu bảo mật Maher Yamout cho biết: “So với các phương pháp thu thập tốn nhiều thời gian hơn như chụp ảnh thiết bị pháp y hoặc sao lưu toàn bộ iOS, việc truy xuất tệp Shutdown.log khá đơn giản”. "Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag)."

Công ty an ninh mạng Nga cho biết họ đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các quy trình "dính", chẳng hạn như các quy trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, quan sát thấy các quy trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.

Hơn nữa, cuộc điều tra còn tiết lộ sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng – “/private/var/db/” cho Pegasus và Reign, và “/private/var/tmp/” cho Predator – do đó đóng vai trò như một dấu hiệu của sự thỏa hiệp.

Điều đó nói lên rằng, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi tùy theo hồ sơ mối đe dọa của họ.

Kaspersky cũng đã xuất bản một bộ sưu tập các tập lệnh Python để trích xuất, phân tích và phân tích Shutdown.log nhằm lấy số liệu thống kê khởi động lại, chẳng hạn như lần khởi động lại đầu tiên, lần khởi động lại cuối cùng và số lần khởi động lại mỗi tháng.

Yamout cho biết: “Bản chất nhẹ của phương pháp này khiến nó trở nên sẵn có và dễ tiếp cận”. "Hơn nữa, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một tạo phẩm pháp y có giá trị để phân tích và xác định các mục nhật ký bất thường."

Tiết lộ này được đưa ra khi SentinelOne tiết lộ những kẻ đánh cắp thông tin nhắm mục tiêu vào macOS như KeySteal, Atomic và JaskaGo (còn gọi là CherryPie hoặc Gary Stealer) đang nhanh chóng thích nghi để phá vỡ công nghệ chống vi-rút tích hợp của Apple có tên XProtect.

Nhà nghiên cứu bảo mật Phil Stokes cho biết: “Bất chấp những nỗ lực vững chắc của Apple trong việc cập nhật cơ sở dữ liệu chữ ký XProtect của mình, những chủng phần mềm độc hại phát triển nhanh chóng này vẫn tiếp tục lẩn tránh”. “Chỉ dựa vào phát hiện dựa trên dấu hiệu là không đủ vì các tác nhân đe dọa có phương tiện và động cơ để thích ứng nhanh chóng.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Sự phát triển của AI trong các vụ lừa đả...

17/01/2025 08:00:00 28
Sự phát triển vượt bậc của AI không chỉ tác động đến nhiều ngành công nghiệp mà còn thay đổi chiến t...

Làn sóng tấn công an ninh mạng mới: AI b...

14/01/2025 08:00:00 28
Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã cách mạng hóa mọi khía cạnh cuộc sống, từ mua sắ...

Các sản phẩm của Kaspersky dẫn đầu về hi...

07/01/2025 08:00:00 29
Kaspersky tiếp tục thiết lập chuẩn mực mới về hiệu suất, khẳng định vị thế dẫn đầu trong lĩnh vực an...

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 167
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 135
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 389
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button