خانه » روشی برای شناسایی بدافزارهای بالقوه iOS

روشی برای شناسایی بدافزارهای بالقوه iOS

توسط Vulnerbyte
202 بازدید
بدافزارهای iOS

در چشم انداز همیشه در حال تکامل امنیت تلفن همراه، جستجوی بدافزار در اکوسیستم iOS شبیه به پیمایش در هزارتویی با دیوارهای نامرئی است. تصور کنید که یک قطب‌نمای دیجیتالی داشته باشید که نه تنها شما را در این پیچ و خم راهنمایی می‌کند، بلکه مکانیزم‌های پنهان بدافزارهای iOS را که قبلاً در هاله‌ای از رمز و راز قرار گرفته بود، آشکار می‌کند. این یک ابزار نیست، بلکه این ماهیت Forensic artifact دیجیتال است. Forensic artifactها، آبجکت‎هایی[1] هستند که ارزش فارنزیک دارند. درواقع artifact به معنای هر آبجکتی است که حاوی داده یا شواهدی از چیزی می‌باشد که رخ داده است (مانند لاگ‌ها و رجیستری).

ما در این پست، یک Forensic artifact خاص را بررسی خواهیم کرد که برای کشف برخی از بدافزارهای  iOS و شناسایی آثار به جا مانده از تهدیدات پیچیده حائز اهمیت می‌باشند.

ما در سال‌های ۲۰۲۱ و ۲۰۲۲، این امتیاز را داشتیم که روی چند نفوذ ناشی از آلودگی بدافزار Pegasus در چندین دستگاه آیفون کار کنیم. بررسی چنین مواردی به دلیل ماهیت اکوسیستم iOS می‌تواند پیچیده، پرهزینه یا زمان بر باشد. در نتیجه، تهدیدهای مرتبط اغلب توسط عموم مردم شناسایی نمی‌شوند. تا به امروز، روش‌های رایج برای تجزیه و تحلیل نفوذ موبایل iOS یا بررسی یک نسخه پشتیبان کامل iOS رمزگذاری شده یا تجزیه و تحلیل ترافیک شبکه دستگاه صورت گرفته است. با این حال، هر دو روش زمان‌بر هستند یا به سطح بالایی از تخصص نیاز دارند، که استفاده از آنها را محدود می‌کند.

ما با تجزیه و تحلیل‌های خود، متوجه شدیم که نفوذها در یک لاگ غیرمنتظره سیستم، Shutdown.log، که یک فایل لاگ سیستم موجود در هر دستگاه iOS تلفن همراه است، ردپایی از خود به جا گذاشته‌اند. از آنجایی که روش تشخیص در چندین نفوذ که تحلیل و بررسی شده است سازگار بود، بهتر است که این فایل لاگ را با جزئیات بیشتری تشریح و درک کنیم، زیرا می‌توان از آن به عنوان روش دیگری برای شناسایی بدافزار موبایل استفاده کرد.

 

نمای کلی یک iOS artifact:  Shutdown.log

Shutdown.log یک فایل لاگ مبتنی بر متن است که در دستگاه‌های iOS ایجاد شده است. هر رویداد راه اندازی مجدد همراه با ویژگی‌های محیطی متعدد در این فایل ثبت می‌شود. آن‌ها می‌توانند ورودی‌های چندین سال قبل را ذخیره کرده باشند که اطلاعات زیادی ارائه می‌دهند.

هنگامی که یک کاربر دستگاه موبایل را مجددا راه اندازی می‌کند، سیستم عامل تلاش خواهد کرد تا پیش از راه اندازی مجدد، فرآیندهای در حال اجرا را به خوبی خاتمه دهد. اگر زمانی که فعالیت راه‌اندازی مجدد آغاز می‌شود، یک فرآیند «کلاینت» همچنان در حال اجرا باشد، با شناسه فرآیند ([2]PID) و مسیر سیستم فایل مربوطه ثبت می‌شود. ورودی لاگ اشاره می‌کند که این فرآیندها از راه اندازی مجدد عادی جلوگیری می‌کنند و سیستم منتظر پایان آنها است. یک مهر زمانی یونیکس برای رویداد سیستم ارائه شده است که نشان میدهد بافرهای حافظه به منظور آمادگی برای خاموش شدن (shutdown) کامل سیستم عامل پاک شده‌اند.

یک قطعه نمونه از یک فایل iOS Shutdown.log

فایل log در آرشیو sysdiagnose (sysdiag) ذخیره می شود. Sysdiag را می‌توان مجموعه‌ای از گزارش‌های سیستم و پایگاه‌های داده در نظر گرفت که می‌توانند برای اهداف دیباگینگ و عیب‌یابی تولید شوند. روش تولید sysdiag ممکن است از یک نسخه iOS به نسخه دیگر متفاوت باشد. با این وجود، این آرشیو را می‌توان در تنظیمات عمومی سیستم‌عامل، به‌ویژه در بخش ” Privacy and Analytics” یافت، اگرچه ممکن است دوباره نام مکان دقیق بین نسخه‌های iOS متفاوت باشد.

آرشیو نسبتاً سریع ایجاد می شود و معمولاً فقط چند دقیقه زمان خواهد برد. نتیجهء آن، یک فایل tar.gz. با حجمی حدود ۲۰۰-۴۰۰ مگابایت است؛ سپس این فایل را می توان به دستگاه آنالیز منتقل کرد. پس از باز شدن آرشیو، فایل Shutdown.log در دایرکتوری “\ system_logs.logarchive\Extra ” قرار می‌گیرد.

 

شناسایی بدافزارهای ios و درس‌های آموخته شده

هنگامی که ما برای اولین بار شروع به تجزیه و تحلیل تلفن‌های به ظاهر آلوده کردیم، آنها را با ابزار MVT که توسط سازمان عفو بین الملل توسعه یافته است آزمایش کردیم. MVT در آن زمان، با تجزیه پایگاه داده DataUsage، در میان سایر Forensic artifactها، شاخص‌های بدافزار را شناسایی کرد.

از آنجایی که بدافزارهای موبایل رو به افزایش هستند و روش‌های تشخیص آنها زمان‌بر می‌باشد، ما به دنبال روشی سریع‌تر و آسان‌تر هستیم. در حالی که تجزیه و تحلیل ترافیک شبکه می‌تواند یک روش بسیار سبک برای شناسایی نفوذ احتمالی آیفون باشد، پردازش ترافیک شبکه می‌تواند به تخصص و منابع بالایی نیاز داشته باشد. تجزیه و تحلیل تخلیه Sysdiag یک روش کم نفوذ و یک روش کم منابع برای شناسایی نفوذهای احتمالی آیفون با استفاده از artifactهای مبتنی بر سیستم است. این می‌تواند برای تکمیل شناسایی نفوذ از نقطه نظرهای مختلف مفید باشد. یک فایل لاگ نمونه متعلق به شناسایی نفوذ پگاسوس (Pegasus) در مسیر “private/var/db/com.apple.xpc.roleaccountd.staging/rolexd/” می‌باشد.

نمونه ردیابی نفوذ در ورودی Shutdown.log

پس از دریافت شاخص نفوذ در این لاگ و تایید نفوذ با استفاده از پردازش MVT سایر artifact های iOS، این لاگ اکنون بخشی از یک رویکرد جامع برای بررسی نفوذ است. از آنجایی که ما سازگاری این رفتار را با سایر نفوذ‌های Pegasus که تجزیه و تحلیل کردیم تأیید می‌کنیم، معتقدیم که به عنوان یک artifact  قانونی قابل اطمینان برای پشتیبانی از تجزیه و تحلیل نفوذ عمل می‌کند.

ما در حین تجزیه و تحلیل نفوذهای مختلف، چندین مشاهده انجام دادیم. یکی از تلفن‌های آلوده دارای شاخص‌های نفوذ در artifact های متداول مانند پایگاه داده DataUsage بود، اما هیچ اثری در Shutdown.log وجود نداشت. تجزیه و تحلیل بیشتر نشان داد که دستگاه کاربر در روز نفوذ، راه‌اندازی مجدد نشده است. این مشاهده منطقی است، زیرا Shutdown.log فقط ورودی‌ها را پس از راه اندازی مجدد ثبت می‌کند.

یکی دیگر از مشاهدات جالبی که ما بر روی یک گوشی آلوده دیگر انجام دادیم آن بود که گاهی اوقات، زمانی که یک فرآیند ” sticky ” از راه‌اندازی مجدد مانند فرآیندهای مربوط به Pegasus جلوگیری می‌کند، فایل log نیز اعلانی را ثبت می‌کند که نشان می‌دهد راه‌اندازی مجدد به تأخیر افتاده است. از این رو، ما فرآیندهای مرتبط با Pegasus را در بیش از چهار اعلان تاخیر راه اندازی مجدد مشاهده کردیم. در حالی که ما شاهد نمونه‌هایی از تلفن‌های غیر آلوده با دو تا سه اخطار تاخیر راه اندازی مجدد بودیم، تأخیر بیش از حد (بیش از چهار) مورد را یکی دیگر از ناهنجاری‌های لاگ می دانیم که بایستی مورد بررسی قرار گیرند.

همانطور که به تحقیق در آرشیو sysdiag و Shutdown.log ادامه دادیم، تجزیه و تحلیل آزمایشگاه CitizenLab از Reign را خواندیم و چیزی را مشاهده کردیم که قبلا نیز با آن مواجه شده بودیم که در واقع مسیر بدافزار می‌باشد.

مسیر بدافزار Reign در سیستم فایل iOS، توسط CitizenLab شناسایی شده است

ما با مقایسه Shutdown.log برای نفوذ‌های Pegasus که مورد بررسی و تحلیل قرار گرفتند و artifact های مسیر Reign  در بالا، متوجه شباهت‌های دیگری با این نفوذها شدیم. به نظر می‌رسد اجرای بدافزاری که از private/var/db/” /” نشات می‌گیرد و با تمام نفوذهایی که مشاهده کرده‌ایم، سازگار است، حتی اگر نام فرآیندها متفاوت باشند. این موضوع برای خانواده بدافزار موبایل دیگری که Predator نام دارد نیز صادق است، جایی که یک مسیر مشابه، private/var/tmp/” /” اغلب استفاده می‌شود.

از آنجایی که هر سه خانواده بدافزار از یک مسیر سیستم فایل مشابه استفاده می‌کردند، و از آنجایی که ما از تجزیه و تحلیل نفوذ Pegasus تأیید کردیم که چنین مسیری را می‌توان در Shutdown.log مشاهده کرد، معتقدیم که این فایل لاگ ممکن است بتواند به شناسایی آلودگی‌های این خانواده‌های بدافزاری کمک کند. اما یک هشدار بزرگ وجود دارد، این که کاربر باید تا آنجا که ممکن است راه اندازی مجدد انجام دهد. این که هر چند وقت یکبار، نیاز به راه اندازی مجدد می‌باشد، بستگی به پروفایل تهدید کاربر دارد. هر چند ساعت، هر روز و یا شاید در هر “رویداد مهم” نیاز به راه اندازی مجدد دستگاه باشد، اما مطمئن نیستیم.

اسکریپت‌های تحلیلی

ما به منظور خودکار سازی فرآیند تجزیه و تحلیل، چند اسکریپت Python3 برای کمک به استخراج، تجزیه و تحلیل و تجزیه Shutdown.log ایجاد کردیم. کاربر به عنوان یک پیش نیاز، باید یک sysdiag dump ایجاد و آرشیو را استخراج کند.

اسکریپت ۱: iShutdown_detect

اسکریپت اول در مورد تشخیص ناهنجاری‌های ذکر شده در بالا در داخل Shutdown.log است و فایل لاگ مورد نظر را در پس زمینه تجزیه و تحلیل می‌کند و هر یک از ناهنجاری‌ها را نمایش می‌دهد. به این اسکریپت به عنوان یک روش سبک وزن (lightweight) به منظور تجزیه و تحلیل forensic artifact  برای ورودی‌های غیر معمول فکر کنید.

مثال‌های زیر برخی از نتایجی را نشان می‌دهند که انتظار دارید مشاهده کنید:

ما در حین تجزیه و تحلیل نفوذهای مختلف، چندین مشاهده انجام دادیم. یکی از تلفن‌های آلوده دارای شاخص‌های نفوذ در artifact های متداول مانند پایگاه داده DataUsage بود، اما هیچ اثری در Shutdown.log وجود نداشت. تجزیه و تحلیل بیشتر نشان داد که دستگاه کاربر در روز نفوذ، راه‌اندازی مجدد نشده است. این مشاهده منطقی است، زیرا Shutdown.log فقط ورودی‌ها را پس از راه اندازی مجدد ثبت می‌کند.

یکی دیگر از مشاهدات جالبی که ما بر روی یک گوشی آلوده دیگر انجام دادیم آن بود که گاهی اوقات، زمانی که یک فرآیند ” sticky ” از راه‌اندازی مجدد مانند فرآیندهای مربوط به Pegasus جلوگیری می‌کند، فایل log نیز اعلانی را ثبت می‌کند که نشان می‌دهد راه‌اندازی مجدد به تأخیر افتاده است. از این رو، ما فرآیندهای مرتبط با Pegasus را در بیش از چهار اعلان تاخیر راه اندازی مجدد مشاهده کردیم. در حالی که ما شاهد نمونه‌هایی از تلفن‌های غیر آلوده با دو تا سه اخطار تاخیر راه اندازی مجدد بودیم، تأخیر بیش از حد (بیش از چهار) مورد را یکی دیگر از ناهنجاری‌های لاگ می دانیم که بایستی مورد بررسی قرار گیرند.

همانطور که به تحقیق در آرشیو sysdiag و Shutdown.log ادامه دادیم، تجزیه و تحلیل آزمایشگاه CitizenLab از Reign را خواندیم و چیزی را مشاهده کردیم که قبلا نیز با آن مواجه شده بودیم که در واقع مسیر بدافزار می‌باشد.

فرآیندهای “Sticky ” راه اندازی مجدد را بیش از سه بار به تاخیر می اندازد

 

تشخیص نمونه ای از شاخص پگاسوس

 

تشخیص نمونه ای از شاخص Pegasus با بیش از سه تاخیر برای راه اندازی مجدد

اسکریپت ۲: iShutdown_parse

ما می‌دانیم که مواردی وجود دارند که تحلیلگران و کاربران می‌خواهند فایل‌های لاگ خود را به اشتراک بگذارند و آنها را برای اهداف مختلف تجزیه کنند. بنابراین این اسکریپت، به عنوان تلاشی برای پشتیبانی از چنین نیازی است. این اسکریپت یک آرشیو sysdiag را به عنوان آرگومان می‌گیرد و فایل Shutdown.log را از آن استخراج می‌کند. اگر دستور داده شود، آن را به یک فایل CSV تبدیل می‌کند، timestampها را رمزگشایی و خلاصه‌ای از تجزیه را ایجاد می‌کند که شامل منبع sysdiag و هش‌های Shutdown.log استخراج ‌شده است.

از آنجایی که هر سه خانواده بدافزار از یک مسیر سیستم فایل مشابه استفاده می‌کردند، و از آنجایی که ما از تجزیه و تحلیل نفوذ Pegasus تأیید کردیم که چنین مسیری را می‌توان در Shutdown.log مشاهده کرد، معتقدیم که این فایل لاگ ممکن است بتواند به شناسایی آلودگی‌های این خانواده‌های بدافزاری کمک کند. اما یک هشدار بزرگ وجود دارد، این که کاربر باید تا آنجا که ممکن است راه اندازی مجدد انجام دهد. این که هر چند وقت یکبار، نیاز به راه اندازی مجدد می‌باشد، بستگی به پروفایل تهدید کاربر دارد. هر چند ساعت، هر روز و یا شاید در هر “رویداد مهم” نیاز به راه اندازی مجدد دستگاه باشد، اما مطمئن نیستیم.

اسکریپت‌های تحلیلی

ما به منظور خودکار سازی فرآیند تجزیه و تحلیل، چند اسکریپت Python3 برای کمک به استخراج، تجزیه و تحلیل و تجزیه Shutdown.log ایجاد کردیم. کاربر به عنوان یک پیش نیاز، باید یک sysdiag dump ایجاد و آرشیو را استخراج کند.

اسکریپت ۱: iShutdown_detect

اسکریپت اول در مورد تشخیص ناهنجاری‌های ذکر شده در بالا در داخل Shutdown.log است و فایل لاگ مورد نظر را در پس زمینه تجزیه و تحلیل می‌کند و هر یک از ناهنجاری‌ها را نمایش می‌دهد. به این اسکریپت به عنوان یک روش سبک وزن (lightweight) به منظور تجزیه و تحلیل forensic artifact  برای ورودی‌های غیر معمول فکر کنید.

مثال‌های زیر برخی از نتایجی را نشان می‌دهند که انتظار دارید مشاهده کنید:

ما در حین تجزیه و تحلیل نفوذهای مختلف، چندین مشاهده انجام دادیم. یکی از تلفن‌های آلوده دارای شاخص‌های نفوذ در artifact های متداول مانند پایگاه داده DataUsage بود، اما هیچ اثری در Shutdown.log وجود نداشت. تجزیه و تحلیل بیشتر نشان داد که دستگاه کاربر در روز نفوذ، راه‌اندازی مجدد نشده است. این مشاهده منطقی است، زیرا Shutdown.log فقط ورودی‌ها را پس از راه اندازی مجدد ثبت می‌کند.

یکی دیگر از مشاهدات جالبی که ما بر روی یک گوشی آلوده دیگر انجام دادیم آن بود که گاهی اوقات، زمانی که یک فرآیند ” sticky ” از راه‌اندازی مجدد مانند فرآیندهای مربوط به Pegasus جلوگیری می‌کند، فایل log نیز اعلانی را ثبت می‌کند که نشان می‌دهد راه‌اندازی مجدد به تأخیر افتاده است. از این رو، ما فرآیندهای مرتبط با Pegasus را در بیش از چهار اعلان تاخیر راه اندازی مجدد مشاهده کردیم. در حالی که ما شاهد نمونه‌هایی از تلفن‌های غیر آلوده با دو تا سه اخطار تاخیر راه اندازی مجدد بودیم، تأخیر بیش از حد (بیش از چهار) مورد را یکی دیگر از ناهنجاری‌های لاگ می دانیم که بایستی مورد بررسی قرار گیرند.

همانطور که به تحقیق در آرشیو sysdiag و Shutdown.log ادامه دادیم، تجزیه و تحلیل آزمایشگاه CitizenLab از Reign را خواندیم. در آنجا چیزی را مشاهده کردیم که قبلا نیز با آن مواجه شده بودیم که در واقع مسیر بدافزار می‌باشد.

استخراج لاگ و خروجی تجزیه

اسکریپت ۳: iShutdown_stats

آخرین اسکریپت را می‌توان برای اهداف مختلفی استفاده کرد، مانند درک اینکه کاربر چقدر یا چه زمانی دستگاه موبایل را راه اندازی مجدد کرده است. این اسکریپت در نظر می‌گیرد که شما فایل لاگ مورد نظر را همانطور که می‌گیرد استخراج کرده‌اید و نه بایگانی sysdiag را به عنوان آرگومان.

آمار راه اندازی مجدد Shutdown.log هدف

سخن پایانی

تجزیه و تحلیل فایل Shutdown.log با جزئیات بیشتر و در پلتفرم‌های مختلف می‌بایست ادامه یابد. ما انتظار داریم بتوانیم در آینده اکتشافات بیشتری از ورودی‌های آن داشته باشیم.

برای دیدن مقالات حوزه ios میتوانید تگ IOS را انتخاب نمائید.

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید