Script iShutdown Dapat Deteksi Spyware di iPhone dengan Mudah

Berita Cybersecurity, Script iShutdown Deteksi Spyware iPhone - Peneliti keamanan siber baru-baru ini menemukan bahwa infeksi spyware terkenal seperti Pegasus, Reign, dan Predator dapat ditemukan pada perangkat mobile Apple yang terinfeksi dengan memeriksa Shutdown.log, sebuah file log sistem yang menyimpan proses reboot.

Kaspersky merilis script Python untuk membantu mengotomatisasi proses analisis file Shutdown.log dan mengenali tanda-tanda potensial infeksi malware dengan cara yang mudah dievaluasi.

Shutdown.log ditulis saat perangkat melakukan reboot dan mencatat waktu yang dibutuhkan untuk mengakhiri proses serta persistent identifier (PID) mereka.

Script iShutdown

Malware yang memiliki efek yang terukur pada reboot perangkat karena injeksi dan manipulasi proses yang dilakukannya, meninggalkan artefak forensik digital yang memvalidasi kompromi.

Dibandingkan dengan teknik standar seperti memeriksa backup iOS yang terenkripsi atau lalu lintas jaringan, file Shutdown.log memberikan metode analisis yang jauh lebih mudah, kata para peneliti.

Kaspersky telah memublikasikan tiga script Python bernama iShutdown yang memungkinkan peneliti memeriksa data reboot dari file log shutdown iOS:

• iShutdown_detect.py - menganalisis arsip Sysdiagnose yang berisi file log
• iShutdown_parse.py - mengekstrak artefak Shutdown.log dari arsip tar
• iShutdown_stats.py - mengekstrak statistik reboot dari file log

Karena file Shutdown.log hanya dapat menulis data yang berisi tanda-tanda infeksi jika reboot dilakukan setelah kompromi, Kaspersky merekomendasikan untuk sering-sering merestart perangkat.

"Seberapa sering, Anda mungkin bertanya? Yah, tergantung! Tergantung pada profil ancaman pengguna; setiap beberapa jam, setiap hari, atau mungkin sekitar 'peristiwa penting'; kami akan tinggalkan ini sebagai pertanyaan terbuka" - Kaspersky

Repositori GitHub Kaspersky berisi petunjuk tentang cara menggunakan script Python, serta contoh output. Namun, diperlukan sedikit pemahaman tentang Python, iOS, output terminal, dan indikator malware untuk mengevaluasi hasil dengan benar.

Para peneliti mencatat bahwa metode mereka gagal jika pengguna tidak me-reboot perangkat pada hari infeksi. Pengamatan lain adalah bahwa file log mencatat saat reboot tertunda, seperti dalam kasus proses terkait Pegasus yang mencegah prosedur tersebut.

Saat menguji metode ini pada iPhone yang terinfeksi spyware Reign, para peneliti melihat bahwa eksekusi malware berasal dari "/private/var/db/," jalur yang sama seperti dalam kasus Pegasus.

Berdasarkan ini, peneliti Kaspersky percaya bahwa menggunakan "file log mungkin dapat membantu mengidentifikasi infeksi oleh keluarga malware ini," asalkan target melakukan restart telepon mereka cukup sering.

Berbagi :

Anda mungkin menyukai postingan ini :

• 
  Awas, Ransomware Trigona Targetkan Server Microsoft SQL
• 
  Awas! Plugin WordPress Pencuri Kartu Kredit Berkedok Patch
• 
  Awas! Daam Malware Bisa Sadap WhatsApp