TỔNG QUAN VỀ TỆP SHUTDOWN.LOG
Vào năm 2021 và 2022, Kaspersky đã xử lý một số trường hợp lây nhiễm phần mềm độc hại Pegasus trên một số thiết bị iPhone. Cho đến nay, các phương pháp phổ biến để phân tích lây nhiễm trên thiết bị di động iOS là kiểm tra bản sao lưu iOS đầy đủ được mã hóa hoặc phân tích lưu lượng mạng của thiết bị. Tuy nhiên, cả hai phương pháp này đều rất mất thời gian hoặc yêu cầu trình độ chuyên môn cao của người phân tích.
Qua nghiên cứu phần mềm gián điệp Pegasus, Kaspersky phát hiện ra rằng sự lây nhiễm đã để lại dấu vết kỹ thuật số trong một tệp có tên gọi là Shutdown.log. Đây là tệp nhật ký hệ thống có sẵn trên tất cả các thiết bị iOS. Mỗi sự kiện khởi động lại của hệ điều hành đều được ghi vào tệp này.
Các nhà nghiên cứu cho biết, khi người dùng bắt đầu khởi động, hệ điều hành sẽ cố gắng chấm dứt các tiến trình đang chạy. Nếu một tiến trình “client” vẫn đang chạy khi quá trình khởi động lại được thực hiện, thì tiến trình đó sẽ được ghi lại bằng mã định danh tiến trình (PID) và đường dẫn hệ thống tệp tương ứng.
Hình 1. Đoạn mã từ tệp iOS Shutdown.log
So với các phương pháp thu thập tốn nhiều thời gian như điều tra số hình ảnh thiết bị hoặc bản sao lưu iOS, việc truy xuất tệp Shutdown.log khá đơn giản. Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag).
Sysdiag có thể được coi là tập hợp các phần nhật ký hệ thống và cơ sở dữ liệu có thể được tạo ra cho mục đích gỡ lỗi và khắc phục sự cố. Phương pháp tạo sysdiag có thể khác nhau giữa các phiên bản iOS. Tuy nhiên, chúng ta có thể tìm thấy kho lưu trữ này trong cài đặt chung của hệ điều hành, cụ thể là trong phần “Privacy and Analytics”, mặc dù tên vị trí chính xác có thể khác nhau giữa các phiên bản iOS.
Kho lưu trữ được tạo tương đối nhanh chóng, thường chỉ mất vài phút. Kết quả là một tệp .tar.gz có kích thước khoảng 200MB đến 400MB. Sau khi giải nén kho lưu trữ, tệp Shutdown.log nằm trong thư mục “\system_logs.logarchive\Extra”.
PHÁT HIỆN SỰ LÂY NHIỄM
Khi tiến hành phân tích những chiếc điện thoại bị lây nhiễm phần mềm độc hại, các nhà nghiên cứu đã thử nghiệm bằng công cụ MVT - Mobile Verification Toolkit, đây là bộ công cụ giúp các nhà phân tích điều tra thiết bị di động có thể tìm ra dấu hiệu của sự xâm phạm tiềm ẩn. Vào thời điểm đó, MVT đã xác định các chỉ báo phần mềm độc hại bằng cách phân tích cơ sở dữ liệu DataUsage.
Vì phần mềm độc hại trên thiết bị di động ngày càng trở nên phổ biến và các phương pháp phát hiện gây mất thời gian, do đó Kaspersky đã tìm kiếm một phương pháp nhanh hơn và dễ dàng hơn. Mặc dù phân tích lưu lượng truy cập mạng có thể là một phương pháp rất hiệu quả để xác định khả năng lây nhiễm iPhone tiềm ẩn, nhưng việc xử lý lưu lượng truy cập mạng có thể đòi hỏi trình độ chuyên môn và nguồn lực cao. Phân tích trích xuất Sysdiag là một phương pháp xâm nhập tối thiểu và tiết kiệm tài nguyên để xác định khả năng lây nhiễm iPhone.
Các nhà nghiên cứu cho biết các thiết bị di động có dấu hiệu bị lây nhiễm trong các thành phần thông thường như cơ sở dữ liệu DataUsage, nhưng không có dấu vết nào trong Shutdown.log. Phân tích sâu hơn cho thấy người dùng đã không khởi động lại vào thời điểm bị lây nhiễm vì Shutdown.log chỉ ghi lại các mục khi khởi động lại.
Bên cạnh đó, các nhà nghiên cứu cũng cho biết đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các tiến trình “sticky”, chẳng hạn như các tiến trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, các nhà nghiên cứu quan sát thấy các tiến trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.
Khi tiếp tục phân tích các kho lưu trữ Sysdiag và Shutdown.log, các nhà nghiên cứu phát hiện sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng: đường dẫn “/private/var/db/” với Pegasus, Reign và đường dẫn “/private/var/tmp/” với Predator, đóng vai trò như một dấu hiệu của sự thỏa hiệp.
Vì cả ba dòng phần mềm độc hại đều sử dụng một đường dẫn hệ thống tệp tương tự và Kaspersky đã xác nhận từ phân tích lây nhiễm của Pegasus rằng đường dẫn đó có thể được nhìn thấy trong Shutdown.log nên các nhà nghiên cứu tin rằng tệp nhật ký này có thể giúp xác định sự lây nhiễm của các dòng phần mềm độc hại này. Tuy nhiên, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi phụ thuộc mức độ lây nhiễm của từng mối đe dọa.
PHÂN TÍCH TẬP LỆNH
Để tự động hóa quá trình phân tích, các nhà nghiên cứu đã tạo một số tập lệnh Python3 để giúp trích xuất và phân tích Shutdown.log.
Tập lệnh 1: iShutdown_ detect
Tập lệnh phân tích đầu tiên cho biết về việc phát hiện những điểm bất thường được đề cập ở trên, bên trong tệp Shutdown.log. Các ví dụ dưới đây hiển thị một số kết quả đáng mong đợi.
Hình 2.Tiến trình “sticky” trì hoãn khởi động lại hơn ba lần
Hình 3. Phát hiện một dấu hiệu của phần mềm gián điệp Pegasus
Kịch bản 2: iShutdown_parse
Các nhà nghiên cứu nhận định có những trường hợp các nhà phân tích và người dùng muốn chia sẻ tệp nhật ký của họ và phân tích chúng cho các mục đích khác nhau. Vì vậy, kịch bản thứ hai là một nỗ lực nhằm hỗ trợ yêu cầu này. Tập lệnh iShutdown_parse lấy một kho lưu trữ Sysdiag làm đối số và trích xuất tệp Shutdown.log từ đó, đồng thời chuyển đổi thành tệp CSV, giải mã dấu thời gian (timestamp) và tạo bản tóm tắt phân tích cú pháp bao gồm Sysdiag nguồn và hàm băm Shutdown.log được trích xuất.
Hình 4. Kết quả trích xuất và phân tích nhật ký
Kịch bản 3: iShutdown_stats
Tập lệnh cuối cùng có thể được sử dụng cho nhiều mục đích khác nhau, chủ yếu nhằm lấy số liệu thống kê trong những lần mà người dùng khởi động lại điện thoại, chẳng hạn như lần khởi động đầu tiên, lần khởi động cuối cùng và số lần khởi động lại mỗi tháng. Tập lệnh iShutdown_stats tính đến việc người dùng đã trích xuất tệp nhật ký được đề cập và lấy chính tập lệnh này chứ không phải kho lưu trữ sysdiag làm đối số.
Hình 5. Thống kê số lần khởi động lại mỗi tháng trên điện thoại
KẾT LUẬN
Để đi đến kết luận, các nhà nghiên cứu đã phân tích và xác nhận độ tin cậy của việc phát hiện nhiễm phần mềm độc hại Pegasus bằng cách sử dụng tệp Shutdown.log được lưu trữ trong Sysdiag. Đáng lưu ý, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một công cụ điều tra số có giá trị để phân tích và xác định các mục nhật ký bất thường. Ngoài ra, các nhà nghiên cứu nhấn mạnh đây không phải là giải pháp có thể phát hiện tất cả phần mềm độc hại và phương pháp này phụ thuộc vào việc người dùng khởi động lại điện thoại thường xuyên hay không.
Ngọc Hân
(Tổng hợp)
07:00 | 18/01/2024
15:00 | 16/04/2024
09:00 | 25/12/2023
07:00 | 15/01/2024
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
