Eksperci ds. bezpieczeństwa odkryli, iż infekcje oprogramowaniem szpiegującym, takim jak Pegasus, Reign i Predator, da się wykryć na zainfekowanych urządzeniach mobilnych Apple, analizując plik dziennika systemowego Shutdown.log.
Firma Kaspersky udostępniła skrypty w języku Python, które umożliwiają zautomatyzowanie procesu analizy pliku Shutdown.log, ułatwiając tym samym identyfikację potencjalnych oznak złośliwego oprogramowania. Shutdown.log jest rejestrowany po każdym ponownym uruchomieniu urządzenia, zapisując czas potrzebny do zakończenia procesu oraz jego identyfikator (PID). Złośliwe oprogramowanie, które wpływa na proces ponownego uruchomienia poprzez wstrzykiwanie procesów i manipulacje, pozostawia cyfrowe ślady kryminalistyczne potwierdzające kompromitację.
Badacze twierdzą, iż w porównaniu do standardowych technik, takich jak analiza zaszyfrowanej kopii zapasowej systemu iOS lub ruchu sieciowego, analiza pliku Shutdown.log stanowi znacznie łatwiejszą metodę. Firma Kaspersky udostępniła trzy skrypty w języku Python o nazwie iShutdown, które pozwalają badaczom sprawdzać dane dotyczące ponownego uruchamiania z pliku dziennika zamknięcia systemu iOS:
- iShutdown_detect.py – analizuje archiwum Sysdiagnose zawierające plik dziennika
- iShutdown_parse.py – wyodrębnia artefakty Shutdown.log z archiwum tar
- iShutdown_stats.py – wyodrębnia statystyki ponownego uruchamiania z pliku dziennika
Ponieważ plik Shutdown.log rejestruje dane zawierające oznaki infekcji tylko w przypadku, gdy po naruszeniu zabezpieczeń następuje ponowne uruchomienie, Kaspersky zaleca regularne restartowanie zainfekowanych urządzeń w celu wykrycia infekcji.
Repozytorium GitHub firmy Kaspersky zawiera instrukcje dotyczące korzystania ze skryptów Pythona, a także prezentuje przykładowe wyniki. Niemniej jednak, do prawidłowej oceny wyników wymagana jest pewna znajomość języka Python, systemu iOS, danych wyjściowych terminala oraz wskaźników złośliwego oprogramowania.