iShutdown – инструмент от «Лаборатории Касперского» для обнаружения шпионской программы Pegasus на iPhone

2024-01-16 5761 комментарии
iShutdown от «Лаборатории Касперского» - это инструмент для обнаружения шпионского ПО Pegasus на iPhone, анализирующий лог-файл Shutdown.log для выявления аномалий

iShutdown – это инструмент, разработанный "Лабораторией Касперского", предназначенный для обнаружения шпионской программы Pegasus на устройствах iPhone. Он фокусируется на анализе системного лог-файла Shutdown.log, который является ключевым элементом в процессе обнаружения инфекций.

Основные характеристики и функциональность iShutdown

  • Анализ файла Shutdown.log: Этот системный лог-файл содержит информацию о каждой операции перезагрузки устройства. iShutdown анализирует записи в этом логе на предмет аномалий, которые могут указывать на наличие Pegasus или другого шпионского ПО, включая Reign и Predator.
  • Обнаружение аномальных процессов: Один из ключевых признаков заражения - это наличие процессов, которые мешают нормальной перезагрузке устройства. iShutdown ищет записи о таких "зависших" процессах в лог-файле.
  • Простота использования: Инструмент разработан таким образом, чтобы его могли использовать не только специалисты по кибербезопасности, но и обычные пользователи iPhone для самостоятельной проверки своих устройств.
  • Совместимость с Mobile Verification Toolkit (MVT): Обнаружение заражения, выполненное с помощью iShutdown, может быть подтверждено дополнительным анализом с использованием MVT, что обеспечивает более глубокий уровень проверки.
  • Минимальные требования к ресурсам: iShutdown не требует значительных вычислительных ресурсов, делая его доступным для широкого круга пользователей.

Рекомендации по использованию

  • Регулярная перезагрузка устройства: Поскольку Shutdown.log фиксирует информацию только при перезагрузке, регулярная перезагрузка устройства увеличивает вероятность обнаружения заражения.
  • Обновление и анализ данных: Для обеспечения наилучшей защиты пользователи должны регулярно обновлять свои устройства и использовать iShutdown для анализа системных логов.

Как работает iShutdown:

  • Сбор данных: Пользователь должен сгенерировать архив системной диагностики (sysdiag) на своём устройстве iOS. Sysdiag можно рассматривать как набор системных журналов и баз данных, которые могут быть созданы для отладки и устранения неполадок. Метод генерации sysdiag может отличаться в разных версиях iOS. Тем не менее, этот архив можно найти в общих настройках ОС, а именно в разделе "Конфиденциальность и безопасность > Аналитика и улучшения > Данные аналитики".

  • Извлечение Shutdown.log: После создания sysdiag, архив переносится на компьютер для анализа, где iShutdown извлекает файл Shutdown.log. Этот файл находится в директории “\system_logs.logarchive\Extra” внутри архива.
  • Анализ лог-файла: iShutdown анализирует Shutdown.log на предмет аномальных записей. Особое внимание уделяется записям, указывающим на проблемы с завершением работы процессов во время перезагрузки, что может быть признаком вмешательства вредоносного ПО.

Примеры аномалий, обнаруживаемых iShutdown

  • Записи о процессах, которые не завершаются нормально при перезагрузке.
  • Пути файлов, связанные с известными шпионскими программами, например, Pegasus.
  • Чрезмерное количество уведомлений о задержке перезагрузки, что может указывать на наличие "липких" процессов, характерных для шпионского ПО.

В качестве дополнительных мер безопасности рекомендуется ежедневно перезагружать устройство, включить режим «Режим блокировки» (Lockdown), отключить iMessage и Facetime, регулярно обновлять устройство и проверять бэкапы.

Этот метод является частью целостного подхода к исследованию заражений iOS и может служить надёжным инструментом для обнаружения заражений шпионским ПО, таким как Pegasus.

© . По материалам «Лаборатория Касперского»
Комментарии и отзывы

Нашли ошибку?

Новое на сайте