Cybersicherheitsforscher haben eine „leichte Methode“ namens iShutdown zur zuverlässigen Identifizierung von Anzeichen für Spionagesoftware auf Apple iOS-Geräten identifiziert, einschließlich bekannter Bedrohungen wie Pegasus von NSO Group, Reign von QuaDream und Predator von Intellexa. Kaspersky, das eine Reihe von iPhones analysiert hat, die mit Pegasus kompromittiert waren, stellte fest, dass die Infektionen Spuren in einer Datei namens „Shutdown.log“ hinterlassen haben, einer textbasierten Systemprotokolldatei, die auf allen iOS-Geräten verfügbar ist und jeden Neustart zusammen mit den Umgebungseigenschaften aufzeichnet.
„Im Vergleich zu zeitaufwändigeren Methoden wie forensischer Geräteabbildung oder einer vollständigen iOS-Sicherung ist das Abrufen der Shutdown.log-Datei recht unkompliziert“, sagt der Sicherheitsforscher Maher Yamout. „Die Protokolldatei wird in einem sysdiagnose (sysdiag) Archiv gespeichert.“ Das russische Cybersicherheitsunternehmen stellte fest, dass in der Protokolldatei Einträge identifiziert wurden, in denen „sticky“ Prozesse, wie solche, die mit der Spionagesoftware verbunden sind, zu einer Verzögerung des Neustarts geführt haben. In einigen Fällen wurden Pegasus-bezogene Prozesse in mehr als vier Neustartverzögerungshinweisen beobachtet.
Darüber hinaus enthüllte die Untersuchung das Vorhandensein eines ähnlichen Dateisystempfads, der von allen drei Spionagesoftware-Familien genutzt wird – „/private/var/db/“ für Pegasus und Reign sowie „/private/var/tmp/“ für Predator – und dient so als Kompromittierungsindikator.
Der Erfolg dieses Ansatzes hängt jedoch davon ab, dass der Zielbenutzer sein Gerät so häufig wie möglich neu startet, wobei die Häufigkeit je nach Bedrohungsprofil variiert. Kaspersky hat auch eine Sammlung von Python-Skripten veröffentlicht, um die Shutdown.log-Datei zu extrahieren, zu analysieren und zu analysieren, um die Neustartstatistiken zu extrahieren.
„Die Leichtigkeit dieser Methode macht sie leicht verfügbar und zugänglich“, sagt Yamout. „Darüber hinaus kann diese Protokolldatei Einträge für mehrere Jahre speichern, was sie zu einem wertvollen forensischen Artefakt für die Analyse und Identifizierung von anomalen Protokolleinträgen macht.“
Diese Offenlegung erfolgt, während SentinelOne Informationen über macOS-Zieldiebe wie KeySteal, Atomic und JaskaGo (auch bekannt als CherryPie oder Gary Stealer) veröffentlicht hat, die schnell anpassungsfähig sind, um die integrierte Antiviren-Technologie von Apple namens XProtect zu umgehen.
„Trotz der Bemühungen von Apple, seine XProtect-Signaturdatenbank zu aktualisieren, gelingt es diesen sich schnell entwickelnden Malware-Stämmen weiterhin, sich zu entziehen“, sagt der Sicherheitsforscher Phil Stokes. „Sich ausschließlich auf eine signaturbasierte Erkennung zu verlassen, ist unzureichend, da Angreifer die Mittel und das Motiv haben, sich schnell anzupassen.“