Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

iShutdown jako metoda na wykrycie infekcji Pegasusem

23 stycznia 2024, 12:23 | W biegu | komentarzy 15

O narzędziu grupy NSO – czyli Pegasusie pisaliśmy na łamach Sekuraka już wielokrotnie. Sprawa wzbudza emocje, ponieważ dotyczy również polskiego podwórka politycznego

Dotychczasowa analiza potwierdzająca infekcję, przeprowadzana między innymi w Citizen Lab była robiona na kopiach zapasowych urządzenia. Wykorzystywano w tym celu narzędzie od Amnesty International zwane MVT. Operuje ono na znanych wskaźnikach IoC w celu potwierdzenia przejęcia urządzenia przez oprogramowanie szpiegujące. Rozwiązanie ma jednak swoje wady. Analiza ruchu sieciowego jest procesem żmudnym i nie daje odpowiedzi “wprost”. 

Badacze z Kaspersky Labs zauważyli jednak, że badanie w celu potwierdzenia ataku, można przeprowadzić prościej analizując tylko logi systemu związane z wyłączeniem systemu operacyjnego. 
Okazuje się, że reboot na urządzeniu, które zostało zainfekowane Pegasusem (ale nie tylko, ponieważ badacze piszą też o innym malware, Predatorze) odnotowuje lekkie opóźnienie w procesie wyłączania. Analiza logów pozwala później na potwierdzenie wystąpienia infekcji.

Ślad infekcji widoczny w logach

Kaspersky opublikował narzędzie, które pozwala na analizę logów systemowych. W związku z obecną sytuacją geopolityczną sugerujemy zachować ostrożność podczas korzystania z narzędzi rosyjskich firm

Wskaźniki IoC – opóźnienie rebootu

Jedynym minusem rozwiązania jest potrzeba częstego rebootowania urządzenia w celu wygenerowania logu. 

~fc

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Waldemar

    Wskaźniki kompromitacji? Panowie nie kompromitujcie się

    Odpowiedz
    • Tomasz Turba

      Generalnie piszemy wskaźniki IoC i na taki zapis poprawiłem. Masz jakiś rozsądny zamiennik na PL @Waldemar to pls zapodaj :-).

      Odpowiedz
      • Ando

        W zasadzie, nie ma niczego złego w słowie kompromitacja. Można natomiast użyć słowa naruszenie i też będzie brzmiało ładnie.

        Odpowiedz
      • 1488

        Wskaźniki Infekcji? chyba bardziej po polszemu.

        Odpowiedz
        • Prosto

          Myślę, że powinno być prosto i przejrzyście.
          Np – wskaźnik niematerialny infekcyjno-zakażeniowy. I już!

          Odpowiedz
  2. Rysiek

    Fajnie, ale wy tak na powaznie, przynajmniej napiszcie boldem , ze to rosyjski SW. Leczenie opazen przypalaniem ogniem widac nadal w modzie…

    Odpowiedz
    • Andrzej

      Zauważ, że opisywana jest metoda a nie sam tool. Oprogramowanie jest otwartoźródłowe więc można zadziałać na trzy sposoby:
      1. analizując logi i kod podjąć decyzję o uruchomieniu dostarczonego software w izolowanym środowisku
      2. analizując kod przepisać go na swój
      3. na podstawie opisu opracować rozwiązanie od nowa (tzw. clean room design)

      Zalecają ostrożność, czego jeszcze brakuje?

      Odpowiedz
      • Konrad

        Cóż mam nowy telefon więc samemu zrobiłem coś podobnego ale nie zamykałem się na Pegasus ale na wszystkie zagrożenia wszelakimi metodami od pełnej analizy logów w porównaniu do pierwszych logów systemu po pierwszym uruchomieniu po dodatkowe szyfrowanie wszystkich danych

        Odpowiedz
  3. Michał

    Dzięki za czujność wreszcie dobra informacja

    Odpowiedz
  4. DS

    Skoro chodzi tylko o opóźnienia, NSO zaraz siądzie z tym narzędziem i tak ztweakuje swojego trojana żeby przestało go wykrywać .
    Jako, że mogą go aktualizować online metoda zaraz przestanie być skuteczna w telefonach z dostępem do internetu.

    Odpowiedz
    • Jakub

      Wy tak na powaznie? Tylko pegasus moze opoznic restart systemu? A co do innych metod wykrywania przez citizen lab. Nie chcialbym nic sugerowac, ale opiera sie rowniez o logi z odpowiednim app id apki. Twierdzenie, ze NSO tak spartolilo robote i nieswiadomie zostawilo logi z jakiejs biblioteki do logowania i jednoczesnie piszac aplikacje wykorzystalo prawdopodobnie kilka 0-days przy tworzeniu narzedzia na dany system operacyjny? Serio? Przeciez to narzedzie wysyla wszystkie dane na zewnatrz, takie niezbedne dla nich logi rowniez moze wyslac na serwer, a operatorzy moga rowniez takie logi wgrac na dane urzadzenie specjalnie zostawiajac slad. Po skonczonej robocie apka czysci wszystkie dowody swojego istnienia a zapomina o logach w zewnetrzym module do logowania? Jak dla mnie sprawa mocno smierdzi, nie da sie tez jednoznacznie potwierdzic kto korzystal z tego narzedzia. Takze nalezy do sprawy podchodzic z dystansem.

      Odpowiedz
  5. Sebastian

    „W związku z obecną sytuacją geopolityczną sugerujemy zachować ostrożność podczas korzystania z narzędzi rosyjskich firm. ”

    Ale przepraszam, czy to aluzja do tego że firma Kaspersky to rosyjska firma?

    Odpowiedz
    • BabaJaga01

      Mało że rosyjska to skompromitowana.

      Odpowiedz
    • MrObvious

      tak

      Odpowiedz
  6. Tarzinio

    A skąd mam wiedzieć jakie to są te lekkie opóźnienia skoro np komputer już jest zainfekowany i te opóźnienia zawsze będą lekko opóźnione?

    Odpowiedz

Odpowiedz