Nieuwe methode ontdekt voor detecteren van Pegasus spyware
Een nieuwe lichtgewicht methode maakt het mogelijk om geavanceerde iOS-spyware zoals Pegasus en de nieuwe Pegasus-achtige bedreigingen Reign en Predator te detecteren en hebben een zelfcontroletool voor gebruikers gemaakt. De methode is ontwikkeld door onderzoekers van Kaspersky.
Kaspersky's Global Research and Analysis Team (GReAT) ontwikkelde de methode voor het detecteren van infectie-indicatoren van geavanceerde iOS spyware. Denk daarbij aan Pegasus, Reign en Predator. Zij analyseren hierbij Shutdown.log, een nog niet eerder onderzocht forensisch artefact.
Sporen blijven achter in systeemlogboek
De experts van het bedrijf ontdekten dat Pegasus infectiesporen achterlaten in het onverwachte systeemlogboek, Shutdown.log, dat wordt opgeslagen in het sysdiagnose-archief van elk mobiel iOS-apparaat. Dit archief bewaart informatie van elke herstartsessie, wat betekent dat afwijkingen die verband houden met de Pegasus-malware zichtbaar worden in het logboek als een geïnfecteerde gebruiker zijn apparaat opnieuw opstart.
Onder de geïdentificeerde processen waren gevallen van "sticky" processen die het opnieuw opstarten belemmerden, met name diegene welke waren gekoppeld aan Pegasus, samen met infectiesporen die waren ontdekt door waarnemingen van de cybersecuritygemeenschap.
"De analyse van de sysdiag-dump blijkt minimaal ingrijpend en licht in gebruik te zijn, waarbij wordt vertrouwd op systeem gebaseerde artefacten om mogelijke infecties op de iPhone te identificeren. Nadat we de infectie-indicator in dit logboek hebben ontvangen en de infectie hebben bevestigd met behulp van de Mobile Verification Toolkit (MVT) voor verwerking van andere iOS-artefacten, wordt dit logboek nu onderdeel van een allesomvattende aanpak om iOS-malware-infecties te onderzoeken. Aangezien we de consistentie van dit gedrag hebben bevestigd met de andere Pegasus-infecties die we hebben geanalyseerd, geloven we dat het zal dienen als een betrouwbaar forensisch artefact ter ondersteuning van infectie-analyse," zegt Maher Yamout, Lead Security Researcher bij Kaspersky's GReAT.
Gemeenschappelijk infectiepad ontdekt
Bij het analyseren van het Shutdown.log in Pegasus-infecties zagen Kaspersky-experts een gemeenschappelijk infectiepad, met name "/private/var/db/", dat paden weerspiegelt die worden gezien in infecties die worden veroorzaakt door andere iOS-malware zoals Reign en Predator. De onderzoekers stellen dat dit logbestand potentieel heeft voor het identificeren van infecties die gerelateerd zijn aan deze malwarefamilies.
Om het zoeken naar spyware-infecties te vergemakkelijken, ontwikkelden Kaspersky-experts een hulpprogramma voor zelfcontrole voor gebruikers. De Python3 scripts vergemakkelijken de extractie, analyse en parsing van het Shutdown.log artefact. Het hulpprogramma wordt openbaar gedeeld op GitHub en is beschikbaar voor macOS, Windows en Linux.
Meer over Kaspersky
Over Wouter Hoeffnagel
