Des chercheurs en sécurité ont découvert que des infections par des logiciels espions de premier plan Pegasus, Reign et Predator pouvaient être découvertes sur des appareils mobiles Apple compromis en vérifiant Shutdown.log, un fichier journal système qui stocke les événements de redémarrage.
Kaspersky a publié des scripts Python pour aider à automatiser le processus d’analyse de l’arrêt.enregistrez le fichier et reconnaissez les signes potentiels d’infection par un logiciel malveillant d’une manière facile à évaluer.
Arrêt.le journal est écrit lors du redémarrage de l’appareil et enregistre l’heure à laquelle un processus doit se terminer et son identifiant (PID).
Scripts d’interruption
Les logiciels malveillants qui ont un effet mesurable sur le redémarrage de l’appareil en raison de l’injection de processus et de la manipulation qu’ils effectuent, laissent des artefacts médico-légaux numériques qui valident la compromission.
Par rapport aux techniques standard telles que l’examen d’une sauvegarde iOS cryptée ou du trafic réseau, l’arrêt.le fichier journal fournit une méthode d’analyse beaucoup plus simple, disent les chercheurs.
Kaspersky a publié trois scripts Python appelés iShutdown qui permettent aux chercheurs de vérifier les données de redémarrage à partir du fichier journal d’arrêt iOS:
- iShutdown_detect.py -analyse l’archive Sysdiagnostic qui contient le fichier journal
- iShutdown_parse.py -extrait l’arrêt.consigner les artefacts de l’archive tar
- iShutdown_stats.py -extrait les démarrages de redémarrage à partir du fichier journal
Parce que l’arrêt.le fichier journal ne peut écrire des données contenant des signes d’infection que si un redémarrage est effectué après la compromission, Kaspersky recommande de redémarrer souvent l’infection de l’appareil.
« À quelle fréquence, vous pouvez demander? Eh bien, ça dépend! Cela dépend du profil de menace de l’utilisateur; toutes les quelques heures, tous les jours, ou peut-être autour d’ « événements importants » ;nous laisserons cela comme une question ouverte » – Kaspersky
Le référentiel GitHub de Kaspersky contient des instructions sur l’utilisation des scripts Python, ainsi que des exemples de sorties. Cependant, une certaine familiarité avec Python, iOS, la sortie du terminal et les indicateurs de logiciels malveillants est requise pour évaluer correctement les résultats.
Les fichiers de diagnostic système font 200 à 400 Mo .goudron.archives gz utilisées pour le dépannage des appareils iOS et iPadOS, contenant des informations sur le comportement des logiciels, les communications réseau,etc.
Kaspersky a initialement utilisé la méthode pour analyser les iPhones infectés par le logiciel espion Pegasus et a reçu l’indicateur d’infection dans le journal, ce qui a été confirmé à l’aide de l’outil MVT développé par Amnesty International.
« Puisque nous avons confirmé la cohérence de ce comportement avec les autres infections Pegasus que nous avons analysées, nous pensons qu’il servira d’artefact médico-légal fiable pour soutenir l’analyse des infections » – Kaspersky
Les chercheurs notent que leur méthode échoue si l’utilisateur ne redémarre pas l’appareil le jour de l’infection. Une autre observation est que le fichier journal s’enregistre lorsqu’un redémarrage est retardé, comme dans le cas d’un processus lié à Pegasus qui empêche la procédure.
Bien que cela puisse se produire sur des téléphones non infectés, les chercheurs de Kaspersky estiment que plus de quatre retards, ce qui est considéré comme excessif, constituent une anomalie de journal qui devrait faire l’objet d’une enquête.
Lors du test de la méthode sur un iPhone infecté par un logiciel espion Reign, les chercheurs ont remarqué que l’exécution du logiciel malveillant provenait de “/private/var/db/”, le même chemin que dans le cas de Pegasus.
Un chemin similaire visible dans le fichier journal de Shurdown est également souvent utilisé par le logiciel espion Predator qui ciblait les législateurs et les journalistes.
Sur cette base, les chercheurs de Kaspersky pensent que l’utilisation du « fichier journal peut aider à identifier les infections par ces familles de logiciels malveillants », à condition que la cible redémarre son téléphone assez fréquemment.