iShutdown – это инструмент, разработанный "Лабораторией Касперского", предназначенный для обнаружения шпионской программы Pegasus на устройствах iPhone. Он фокусируется на анализе системного лог-файла Shutdown.log, который является ключевым элементом в процессе обнаружения инфекций.
Основные характеристики и функциональность iShutdown
- Анализ файла Shutdown.log: Этот системный лог-файл содержит информацию о каждой операции перезагрузки устройства. iShutdown анализирует записи в этом логе на предмет аномалий, которые могут указывать на наличие Pegasus или другого шпионского ПО, включая Reign и Predator.
- Обнаружение аномальных процессов: Один из ключевых признаков заражения - это наличие процессов, которые мешают нормальной перезагрузке устройства. iShutdown ищет записи о таких "зависших" процессах в лог-файле.
- Простота использования: Инструмент разработан таким образом, чтобы его могли использовать не только специалисты по кибербезопасности, но и обычные пользователи iPhone для самостоятельной проверки своих устройств.
- Совместимость с Mobile Verification Toolkit (MVT): Обнаружение заражения, выполненное с помощью iShutdown, может быть подтверждено дополнительным анализом с использованием MVT, что обеспечивает более глубокий уровень проверки.
- Минимальные требования к ресурсам: iShutdown не требует значительных вычислительных ресурсов, делая его доступным для широкого круга пользователей.
Рекомендации по использованию
- Регулярная перезагрузка устройства: Поскольку Shutdown.log фиксирует информацию только при перезагрузке, регулярная перезагрузка устройства увеличивает вероятность обнаружения заражения.
- Обновление и анализ данных: Для обеспечения наилучшей защиты пользователи должны регулярно обновлять свои устройства и использовать iShutdown для анализа системных логов.
Как работает iShutdown:
- Сбор данных: Пользователь должен сгенерировать архив системной диагностики (sysdiag) на своём устройстве iOS. Sysdiag можно рассматривать как набор системных журналов и баз данных, которые могут быть созданы для отладки и устранения неполадок. Метод генерации sysdiag может отличаться в разных версиях iOS. Тем не менее, этот архив можно найти в общих настройках ОС, а именно в разделе "Конфиденциальность и безопасность > Аналитика и улучшения > Данные аналитики".
- Извлечение Shutdown.log: После создания sysdiag, архив переносится на компьютер для анализа, где iShutdown извлекает файл Shutdown.log. Этот файл находится в директории “\system_logs.logarchive\Extra” внутри архива.
- Анализ лог-файла: iShutdown анализирует Shutdown.log на предмет аномальных записей. Особое внимание уделяется записям, указывающим на проблемы с завершением работы процессов во время перезагрузки, что может быть признаком вмешательства вредоносного ПО.
Примеры аномалий, обнаруживаемых iShutdown
- Записи о процессах, которые не завершаются нормально при перезагрузке.
- Пути файлов, связанные с известными шпионскими программами, например, Pegasus.
- Чрезмерное количество уведомлений о задержке перезагрузки, что может указывать на наличие "липких" процессов, характерных для шпионского ПО.
В качестве дополнительных мер безопасности рекомендуется ежедневно перезагружать устройство, включить режим «Режим блокировки» (Lockdown), отключить iMessage и Facetime, регулярно обновлять устройство и проверять бэкапы.
Этот метод является частью целостного подхода к исследованию заражений iOS и может служить надёжным инструментом для обнаружения заражений шпионским ПО, таким как Pegasus.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах