Des chercheurs de Kaspersky publient une méthode pour détecter facilement les malware tel que Pegasus sur iOS
L’article, publié le 16 janvier 2024 par Maher Yamout, offre un aperçu approfondi d’une nouvelle approche pour détecter les malwares sur les appareils iOS.
L’accent est mis sur l’utilisation d’un artefact forensique spécifique – le fichier `Shutdown.log` – comme moyen de découvrir des traces d’infections malveillantes sophistiquées telles que Pegasus.
Points clés :
1. Contexte :
En 2021 et 2022, les auteurs ont travaillé sur l’identification d’infections par le malware Pegasus sur des iPhones.
Ils ont noté la complexité et l’intensité des ressources des méthodes traditionnelles de détection de malwares sur iOS.
2. L’Artefact Shutdown.log :
Il s’agit d’un fichier journal système sur les appareils iOS enregistrant chaque événement de redémarrage.
Il contient des détails sur les processus en cours lors d’un redémarrage, ce qui en fait une mine potentielle pour identifier les traces de malwares.
3. Détection de Malware Utilisant Shutdown.log :
L’article expose la manière dont certains processus malveillants étaient systématiquement consignés dans le fichier Shutdown.log, en particulier avec les infections Pegasus.
Ce fichier journal, faisant partie d’une archive sysdiagnose, a été trouvé comme un indicateur fiable de certains types de malwares.
4. Observations et Anomalies :
Certains iPhones ne montraient pas de traces dans Shutdown.log malgré d’autres indicateurs d’infection.
Cela a été attribué à l’absence de redémarrage pendant la période d’infection.
De plus, des avis fréquents de retard de redémarrage dans le fichier journal étaient considérés comme suspects et dignes d’une enquête approfondie.
5. Scripts pour l’Analyse :
Les auteurs ont développé des scripts Python3 pour automatiser l’analyse des fichiers Shutdown.log.
Ces scripts peuvent détecter des anomalies, analyser les journaux et recueillir des statistiques.
6. Conclusion :
Le fichier Shutdown.log, lorsqu’il est correctement analysé, peut servir d’outil précieux pour détecter les malwares sur iOS, en particulier pour des menaces comme Pegasus.
L’efficacité de la méthode est renforcée par des redémarrages fréquents de l’appareil.
7. Invitation à la Collaboration :
Les auteurs encouragent le partage d’échantillons pour des recherches supplémentaires et peuvent être contactés à intelreports@kaspersky.com.
Cette méthode offre un moyen plus accessible et moins intrusif d’identifier les infections potentielles par malware, en complément d’autres méthodes plus complexes et gourmandes en ressources.
L’approche est unique et fait référence à ce fichier journal système souvent négligé, il souligne l’importance des redémarrages réguliers pour faciliter la détection de malwares.
L’article source peu être consulté sur securelist.com:
https://lnkd.in/eBFSJzd7