Kaspersky, Pegasus iOS casus yazılımı tespitinde yeni yöntem buldu
Şirketten yapılan açıklamaya göre, Kaspersky araştırmacıları, "Pegasus" ve benzeri yeni tehditler "Reign ve Predator" gibi sofistike iOS casus yazılımlarını tespit etmek için yeni bir yöntem bulurken, kullanıcılar için kontrol aracı oluşturdu.
Kaspersky'nin Global Araştırma ve Analiz Ekibi (GReAT), daha önce keşfedilmemiş bir adli tıp vakası olan "Shutdown.log"u analiz ettiği sırada bu keşfe imza attı.
Kaspersky uzmanları, Pegasus enfeksiyonlarının, herhangi bir mobil iOS cihazının "sysdiagnose" arşivinde saklanan Shutdown.log adlı sistem günlüğünde beklenmedik izler bıraktığını keşfetti. Bu arşiv, her yeniden başlatma sırasında oturum bilgilerini saklıyor. Kullanıcı, virüs bulaşan cihazını yeniden başlattığında Pegasus kötü amaçlı yazılımıyla ilişkili anomaliler, günlük kaydında görünür hale geliyor.
Yapılan tespitler arasında, özellikle Pegasus ile bağlantılı olanlar olmak üzere, yeniden başlatmayı engelleyen "yapışkan" süreçlerin yanı sıra siber güvenlik topluluğunun gözlemleri yoluyla keşfedilen enfeksiyon izleri de yer alıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmaları Lideri Maher Yamout, şunları kaydetti:
"Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı kalıntılara dayanarak, minimum düzeyde müdahaleci ve kaynak kullanımı açısından hafif olduğunu kanıtlıyor. Günlükteki bulaşma göstergesini aldıktan ve Mobile Verification Toolkit'i (MVT) diğer iOS araçlarını kullanarak bulaşmayı doğruladıktan sonra günlük kayıtları, iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel yaklaşımın bir parçası haline geldi. Bu davranışın, analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını keşfetmemiz sayesinde, enfeksiyon analizini desteklemek için güvenilir bir adli kanıt olarak hizmet edeceğine inanıyoruz."
Uzmanlar "/private/var/db/" olmak üzere ortak bir enfeksiyon yolu gözlemledi
Pegasus enfeksiyonlarındaki Shutdown.log dosyasını inceleyen Kaspersky uzmanları, "Reign" ve "Predator" gibi diğer iOS zararlı yazılımlarının neden olduğu enfeksiyonlarda da görülen, özellikle "/private/var/db/" olmak üzere ortak bir enfeksiyon yolu gözlemledi. Günlük dosyasının, bunun gibi kötü amaçlı yazılım aileleriyle ilgili bulaşmaları da tanımlama potansiyeline sahip olduğuna inanılıyor.
Kaspersky uzmanları, casus yazılım bulaşmalarını anlamayı kolaylaştırmak için bir otomatik kontrol aracı geliştirdi. "Python3" komut dosyaları, Shutdown.log yapıtının çıkarılmasını, analiz edilmesini ve ayrıştırılmasını kolaylaştırıyor. Araç, GitHub'da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için kullanılabiliyor.
"Üye/Üyeler suç teşkil edecek, yasal açıdan takip gerektirecek, yasaların ya da uluslararası anlaşmaların ihlali sonucunu doğuran ya da böyle durumları teşvik eden, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, pornografik ya da ahlaka aykırı, toplumca genel kabul görmüş kurallara aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde hiçbir İçeriği bu web sitesinin hiçbir sayfasında ya da subdomain olarak oluşturulan diğer sayfalarında paylaşamaz. Bu tür içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk münhasıran, içeriği gönderen Üye/Üyeler'e aittir. MİLAT GAZETESİ, Üye/Üyeler tarafından paylaşılan içerikler arasından uygun görmediklerini herhangi bir gerekçe belirtmeksizin kendi web sayfalarında yayınlamama veya yayından kaldırma hakkına sahiptir. Milat Gazetesi, başta yukarıda sayılan hususlar olmak üzere emredici kanun hükümlerine aykırılık gerekçesi ile her türlü adli makam tarafından başlatılan soruşturma kapsamında kendisinden Ceza Muhakemesi Kanunu'nun 332.maddesi doğrultusunda istenilen Üye/Üyeler'e ait kişisel bilgileri paylaşabileceğini beyan eder. "
Yorum yazma kurallarını okudum ve kabul ediyorum.