Kürzlich wurde bekannt, dass Apple iPhones mit Spyware wie Pegasus, QuaDream Reign oder Intellexa Predator zur Überwachung infiziert waren. Kaspersky Sicherheitsforscher haben sich das Thema angesehen und herausgefunden, dass eine Datei shutdown.log auf diesen iPhones Hinweise enthält, wenn solche Spyware dort installiert war.
Anzeige
Ich halte es kurz, da die meisten Leser wohl eher nicht mit dieser Spyware auf iPhones in Berührung kommen. Sicherheitsforscher von Kaspersky haben eine recht einfache Methode mit dem Namen iShutdown identifiziert, mit der sich Anzeichen von Spyware auf Apple iOS-Geräten zuverlässig erkennen lassen. Das umfasst sowohl die Pegasus Spyware der NSO Group, aber auch Reign von QuaDream und Predator von Intellexa. The Hacker News hat den Sachverhalt in nachfolgenden Tweet sowie in diesem Artikel aufbereitet.
Kaspersky Spezialisten analysierten eine Reihe von iPhones, die mit der Pegasus-Spyware infiziert waren, und stellte fest, dass die Infektionen Spuren in einer Datei namens "Shutdown.log" hinterließen. Das ist eine reine, textbasierte Protokolldatei des Systems, die auf allen iOS-Geräten verfügbar ist und jedes Neustart-Ereignis zusammen mit seinen Umgebungsmerkmalen aufzeichnet. Im Artikel von Kaspersky listen deren Spezialisten Hinweise auf Spyware-Infektionen in der log-Datei auf.
Die Sicherheitsspezialisten haben dann mehrere Python3-Scripte geschrieben, um den Analyseprozess zu automatisieren. Diese Skripte helfen beim Extrahieren, Analysieren und Parsen der Einträge aus Shutdown.log.
Anzeige
- Das erste Skript hilft dabei, die oben erwähnten Anomalien in der Datei Shutdown.log zu erkennen. Das Skript analysiert die betreffende Protokolldatei im Hintergrund und zeigt alle Anomalien an.
- Das zweite Script nimmt ein Sysdiag-Archiv als Argument und extrahiert die Datei Shutdown.log daraus. Auf Wunsch konvertiert es die Datei auch in eine CSV-Datei, dekodiert die Zeitstempel und erstellt eine Zusammenfassung der Analyse, die die Quell-Sysdiag-Datei und die extrahierten Shutdown.log-Hashes enthält.
Voraussetzung ist, dass der Benutzer einen Sysdiag-Dump erstellt und das Archiv auf den Analysecomputer extrahiert. Details lassen sich im Kaspersky-Beitrag nachlesen.
Anzeige