꿈을꾸는 파랑새

반응형

러시아 보안 기업인 카스퍼스키 에서 iPhone(아이폰)에서 iOS 스파이웨어를 탐지 도움되는 iShutdown 스크립트 공개했습니다.
보안 연구원들은 재부팅 이벤트를 저장하는 시스템 로그 파일인 Shutdown.log를 확인하여 손상된 Apple 모바일(스마트폰) 장치에서 유명한 스파이웨어인 Pegasus(페가수스),Reign,Predator에 대한 감염을 발견할 수 있음을 발견했습니다.
러시아 보안 기업인 Kaspersky(카스퍼스키)는 Shutdown.log 파일 분석 프로세스를 자동화하고 평가하기 쉬운 방식으로 맬웨어 감염의 잠재적 징후를 인식하는 데 도움이 되는 Python 스크립트를 공개했습니다.
Shutdown.log는 장치를 재부팅 할 때 기록되며 프로세스를 종료해야 하는 시간과 해당 식별자(PID)를 등록을 합니다.
iShutdown 스크립트 
프로세스 주입 및 수행되는 조작으로 말미암아 장치 재부팅에 측정 가능한 영향을 미치는 악성 코드는 손상을 검증하는 디지털 포렌식 아티팩트를 남김
암호화된 iOS 백업이나 네트워크 트래픽을 검사하는 것과 같은 표준 기술과 비교할 때 Shutdown.log 파일은 훨씬 더 쉬운 분석 방법을 제공한다고 연구원들은 말함
Kaspersky는 세 가지 Python 스크립트를 게시
연구원들이 iOS 종료 로그 파일에서 재부팅 데이터를 확인할 수 있는 iShutdown이라는 스크립트입니다.

iShutdown 스크립트

iPhone(아이폰)
iPhone(아이폰)

iShutdown_Detect.py:로그 파일이 포함된 Sysdiagnose 아카아브를 분석
iShutdown_parse.py:tar 아카아브에서 Shutdown.log 아티팩트를 추출
iShutdown_stats.py:로그 파일에서 재부팅 통계를 추출
손상되고 재부팅을 수행하는 경우 Shutdown.log 파일은 감염 징후가 포함된 데이터만 쓸 수 있으므로 Kaspersky는 장치 감염을 자주 다시 시작할 것을 권장
예를들어서 iShutdown_detect.py 이라는 곳에 있는 코드 설명은 다음과 같습니다.

iShutdown_detect.py
iShutdown_detect.py

해당 코드는 Sysdiagnose 아카이브를 검사하여 Pegasus와 같은 악성 소프트웨어로 말미암은 iOS 감염의 흔적을 찾는 Python 스크립트
스크립트는 특정 로그 파일에서 SIGTERM 신호 및 기타 이상 동작에 대한 패턴을 찾아서 이러한 사건들을 감지하고 악성코드 경로에서 의심스러운 프로세스를 찾아내며 해당 내용을 사용자에게 보고
1. count_occurrences:주어진 문자열에서 특정 구문이 발행되는 횟수를 계산하는 함수
2. print_colored:컬러 및 기타 출력 속성을 사용하여 텍스트를 출력하는 함수
3. find_anomalies_before_sigterm:SIGTERM 이벤트가 발생하기 전에 특정 이상 동작을 찾아내는 함수
4. process_hits:특정 키워드에 대한 로그 파일의 히트를 처리하고 결과를 반환하는 함수
5. extract_target_file_contents:주어진 tar 파일에서 특정 파일의 내용을 추출하는 함수
6. 스크립트는 명령줄 인수를 통해 Sysdiagnose 아카이브 파일의 경로를 입력받고 해당 파일에서 shutdown.log이라는 로그 파일을 추출
7. 추출된 로그 파일에서 SIGTERM 이벤트의 발생 횟수를 세고 특정 조건을 충족하는 이상 동작을 검사하여 결과를 출력
8. 악성 코드 경로에서 의심스러운 프로세스를 검사하고 해당 내용을 사용자에게 알림
9. 코드 내에서 특정 경로 및 키워드가 하드 코딩되어 있음
이를 변경하여 특정 환경에 맞게 스크립트를 수정할 수 있음
10. 스크립트는 termcolor 모듈을 사용하여 터미널에서 색상 출력을 지원
11.if __name__ == "__main__":블록에서는 명령줄 인수를 검사하고 스크립트를 실행
결과를 올바르게 평가하려면 Python, iOS,터미널 출력 및 맬웨어 표시기에 대해 어느 정도 익숙해야 함
즉 파이선,iOS,터미널 출력 방법에 대한 모르는 초보자는 사용하기 어려우면 중급자 또는 전문가 분들이 사용할 수가 있을 것입니다.
Sysdiagnose 파일은 iOS 및 iPadOS 기기 문제 해결에 사용되는 200-400MB .tar.gz 아카이브로, 소프트웨어 동작, 네트워크 통신 등에 대한 정보가 포함되어 있음
바탕으로 Kaspersky 연구진은 대상이 전화기를 충분히 자주 재부팅 하는 경우 로그 파일을 사용하면 이러한 악성 코드 계열에 의한 감염을 식별하는 데 도움이 될 수 있습니다. 라고 믿음
자세한 사용방법은 해당 스크립트 배포하는 사이트에서 제공하니 참고 하시면 됩니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band