Kaspersky araştırmacıları, Pegasus ve Pegasus benzeri yeni tehditler olan Reign ve Predator gibi sofistike iOS casus yazılımlarını tespit etmek için yeni bir yöntem ortaya çıkardı. Ayrıca kullanıcılar için bir kontrol aracı oluşturdu…
Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), daha önce keşfedilmemiş bir adli tıp vakası olan Shutdown.log’u analiz ederek Pegasus, Reign ve Predator gibi gelişmiş iOS casus yazılımlarından bulaşma göstergelerini tespit etmek için yeni bir yöntem geliştirdi.
Kaspersky uzmanları, Pegasus enfeksiyonlarının herhangi bir mobil iOS cihazının sysdiagnose arşivinde saklanan Shutdown.log adlı sistem günlüğünde beklenmedik izler bıraktığını keşfetti. Bu arşiv her yeniden başlatma sırasında oturum bilgilerini saklıyor. Yani virüs bulaşmış bir kullanıcı cihazını yeniden başlattığında Pegasus kötü amaçlı yazılımıyla ilişkili anomaliler günlük kaydında görünür hale geliyor.
Yapılan tespitler arasında özellikle Pegasus ile bağlantılı olanlar olmak üzere, yeniden başlatmayı engelleyen “yapışkan” süreçlerin yanı sıra siber güvenlik topluluğunun gözlemleri yoluyla keşfedilen enfeksiyon izleri de yer alıyordu.
Kaspersky GReAT Güvenlik Araştırmaları Lideri Maher Yamout, şunları söyledi: “Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı kalıntılara dayanarak minimum düzeyde müdahaleci ve kaynak kullanımı açısından hafif olduğunu kanıtlıyor. Günlükteki bulaşma göstergesini aldıktan ve Mobile Verification Toolkit’i (MVT) diğer iOS araçlarını kullanarak bulaşmayı doğruladıktan sonra, günlük kayıtları iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel yaklaşımın bir parçası haline geldi. Bu davranışın analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını keşfetmemiz sayesinde, enfeksiyon analizini desteklemek için güvenilir bir adli kanıt olarak hizmet edeceğine inanıyoruz.”
Pegasus enfeksiyonlarındaki Shutdown.log dosyasını inceleyen Kaspersky uzmanları, Reign ve Predator gibi diğer iOS zararlı yazılımlarının neden olduğu enfeksiyonlarda da görülen, özellikle “/private/var/db/” olmak üzere ortak bir enfeksiyon yolu gözlemledi. Kaspersky araştırmacıları, günlük dosyasının bu gibi kötü amaçlı yazılım aileleriyle ilgili bulaşmaları da tanımlama potansiyeline sahip olduğuna inanıyor.
Kaspersky uzmanları, casus yazılım bulaşmalarını anlamayı kolaylaştırmak için bir otomatik kontrol aracı geliştirdi. Python3 komut dosyaları, Shutdown.log yapıtının çıkarılmasını, analiz edilmesini ve ayrıştırılmasını kolaylaştırıyor. Araç GitHub’da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için kullanılabiliyor.
Pegasus gibi iOS casus yazılımları oldukça karmaşık bir yapıya sahip. Siber güvenlik topluluğu her zaman başarılı istismarların önüne geçemese de, kullanıcılar saldırganların işlerini zorlaştıracak adımlar atabilir. Kaspersky uzmanları, iOS’ta gelişmiş casus yazılımlara karşı korunmak için aşağıdakileri öneriyor:
- Sisteminizi Her Gün Yeniden Başlatın: Uluslararası Af Örgütü ve Citizen Lab tarafından yapılan araştırmaya göre, Pegasus genellikle kalıcılığı olmayan sıfır tıklamalı 0 gün açıklarını temel alıyor. Cihazı düzenli olarak yeniden başlatmak cihazın temizlenmesine yardımcı olarak saldırganların tekrar yeniden bulaştırmasını gerekli kılabilir ve böylece zaman içinde tespit edilme şansını artırabilir.
- Kilit Modunu Kullanın: Apple’ın yeni eklediği kilit modunun iOS kötü amaçlı yazılım bulaşmasını engellemedeki başarısı hakkında kamuoyuna sunulan raporlar mevcut.
- iMessage ve Facetime’ı Devre Dışı Bırakın: Varsayılan olarak etkin olan iMessage, cazip bir istismar yolu sunar. Devre dışı bırakılması sıfır tıklama zincirlerinin kurbanı olma riskinizi azaltır. Aynı tavsiye, istismar için bir başka potansiyel vektör olan Facetime için de geçerlidir.
- Cihazınızı Güncel Tutun: Birçok iOS istismar kiti halihazırda yamanmış güvenlik açıklarını hedef aldığından, en son iOS yamalarını derhal yükleyin. Hızlı güncellemeler, gecikmiş güncellemeleri istismar edebilecek bazı ulus devlet saldırganlarının önüne geçmek için çok önemlidir.
- Bağlantılara Dikkatli Yaklaşın: Pegasus saldırganları SMS, diğer mesajlaşma programları veya e-posta yoluyla gönderilen tek tıklamalı istismarlara başvurabileceğinden, mesajlarda gelen bağlantılara tıklamaktan kaçının.
- Yedekleri ve Sysdiag’leri Düzenli Olarak Kontrol Edin: MVT ve Kaspersky’nin araçlarını kullanarak şifrelenmiş yedekleri ve Sysdiagnose arşivlerini işlemek, iOS kötü amaçlı yazılımlarını tespit etmeye yardımcı olabilir.
Kullanıcılar bu uygulamaları günlük rutinlerine dahil ederek gelişmiş iOS casus yazılımlarına karşı savunmalarını güçlendirebilir ve saldırıların başarılı olma riskini azaltabilir.
Son Yorumlar