TỔNG QUAN VỀ TỆP SHUTDOWN.LOG
Vào năm 2021 và 2022, Kaspersky đã xử lý một số trường hợp lây nhiễm phần mềm độc hại Pegasus trên một số thiết bị iPhone. Cho đến nay, các phương pháp phổ biến để phân tích lây nhiễm trên thiết bị di động iOS là kiểm tra bản sao lưu iOS đầy đủ được mã hóa hoặc phân tích lưu lượng mạng của thiết bị. Tuy nhiên, cả hai phương pháp này đều rất mất thời gian hoặc yêu cầu trình độ chuyên môn cao của người phân tích.
Qua nghiên cứu phần mềm gián điệp Pegasus, Kaspersky phát hiện ra rằng sự lây nhiễm đã để lại dấu vết kỹ thuật số trong một tệp có tên gọi là Shutdown.log. Đây là tệp nhật ký hệ thống có sẵn trên tất cả các thiết bị iOS. Mỗi sự kiện khởi động lại của hệ điều hành đều được ghi vào tệp này.
Các nhà nghiên cứu cho biết, khi người dùng bắt đầu khởi động, hệ điều hành sẽ cố gắng chấm dứt các tiến trình đang chạy. Nếu một tiến trình “client” vẫn đang chạy khi quá trình khởi động lại được thực hiện, thì tiến trình đó sẽ được ghi lại bằng mã định danh tiến trình (PID) và đường dẫn hệ thống tệp tương ứng.
Hình 1. Đoạn mã từ tệp iOS Shutdown.log
So với các phương pháp thu thập tốn nhiều thời gian như điều tra số hình ảnh thiết bị hoặc bản sao lưu iOS, việc truy xuất tệp Shutdown.log khá đơn giản. Tệp nhật ký được lưu trữ trong kho lưu trữ sysdiagnose (sysdiag).
Sysdiag có thể được coi là tập hợp các phần nhật ký hệ thống và cơ sở dữ liệu có thể được tạo ra cho mục đích gỡ lỗi và khắc phục sự cố. Phương pháp tạo sysdiag có thể khác nhau giữa các phiên bản iOS. Tuy nhiên, chúng ta có thể tìm thấy kho lưu trữ này trong cài đặt chung của hệ điều hành, cụ thể là trong phần “Privacy and Analytics”, mặc dù tên vị trí chính xác có thể khác nhau giữa các phiên bản iOS.
Kho lưu trữ được tạo tương đối nhanh chóng, thường chỉ mất vài phút. Kết quả là một tệp .tar.gz có kích thước khoảng 200MB đến 400MB. Sau khi giải nén kho lưu trữ, tệp Shutdown.log nằm trong thư mục “\system_logs.logarchive\Extra”.
PHÁT HIỆN SỰ LÂY NHIỄM
Khi tiến hành phân tích những chiếc điện thoại bị lây nhiễm phần mềm độc hại, các nhà nghiên cứu đã thử nghiệm bằng công cụ MVT - Mobile Verification Toolkit, đây là bộ công cụ giúp các nhà phân tích điều tra thiết bị di động có thể tìm ra dấu hiệu của sự xâm phạm tiềm ẩn. Vào thời điểm đó, MVT đã xác định các chỉ báo phần mềm độc hại bằng cách phân tích cơ sở dữ liệu DataUsage.
Vì phần mềm độc hại trên thiết bị di động ngày càng trở nên phổ biến và các phương pháp phát hiện gây mất thời gian, do đó Kaspersky đã tìm kiếm một phương pháp nhanh hơn và dễ dàng hơn. Mặc dù phân tích lưu lượng truy cập mạng có thể là một phương pháp rất hiệu quả để xác định khả năng lây nhiễm iPhone tiềm ẩn, nhưng việc xử lý lưu lượng truy cập mạng có thể đòi hỏi trình độ chuyên môn và nguồn lực cao. Phân tích trích xuất Sysdiag là một phương pháp xâm nhập tối thiểu và tiết kiệm tài nguyên để xác định khả năng lây nhiễm iPhone.
Các nhà nghiên cứu cho biết các thiết bị di động có dấu hiệu bị lây nhiễm trong các thành phần thông thường như cơ sở dữ liệu DataUsage, nhưng không có dấu vết nào trong Shutdown.log. Phân tích sâu hơn cho thấy người dùng đã không khởi động lại vào thời điểm bị lây nhiễm vì Shutdown.log chỉ ghi lại các mục khi khởi động lại.
Bên cạnh đó, các nhà nghiên cứu cũng cho biết đã xác định được các mục trong tệp nhật ký ghi lại các trường hợp trong đó các tiến trình “sticky”, chẳng hạn như các tiến trình liên quan đến phần mềm gián điệp, gây ra tình trạng chậm khởi động lại, trong một số trường hợp, các nhà nghiên cứu quan sát thấy các tiến trình liên quan đến Pegasus trong hơn bốn thông báo trì hoãn khởi động lại.
Khi tiếp tục phân tích các kho lưu trữ Sysdiag và Shutdown.log, các nhà nghiên cứu phát hiện sự hiện diện của một đường dẫn hệ thống tệp tương tự được cả ba dòng phần mềm gián điệp sử dụng: đường dẫn “/private/var/db/” với Pegasus, Reign và đường dẫn “/private/var/tmp/” với Predator, đóng vai trò như một dấu hiệu của sự thỏa hiệp.
Vì cả ba dòng phần mềm độc hại đều sử dụng một đường dẫn hệ thống tệp tương tự và Kaspersky đã xác nhận từ phân tích lây nhiễm của Pegasus rằng đường dẫn đó có thể được nhìn thấy trong Shutdown.log nên các nhà nghiên cứu tin rằng tệp nhật ký này có thể giúp xác định sự lây nhiễm của các dòng phần mềm độc hại này. Tuy nhiên, sự thành công của phương pháp này phụ thuộc vào lời cảnh báo rằng người dùng mục tiêu phải khởi động lại thiết bị của họ thường xuyên nhất có thể, tần suất thay đổi phụ thuộc mức độ lây nhiễm của từng mối đe dọa.
PHÂN TÍCH TẬP LỆNH
Để tự động hóa quá trình phân tích, các nhà nghiên cứu đã tạo một số tập lệnh Python3 để giúp trích xuất và phân tích Shutdown.log.
Tập lệnh 1: iShutdown_ detect
Tập lệnh phân tích đầu tiên cho biết về việc phát hiện những điểm bất thường được đề cập ở trên, bên trong tệp Shutdown.log. Các ví dụ dưới đây hiển thị một số kết quả đáng mong đợi.
Hình 2.Tiến trình “sticky” trì hoãn khởi động lại hơn ba lần
Hình 3. Phát hiện một dấu hiệu của phần mềm gián điệp Pegasus
Kịch bản 2: iShutdown_parse
Các nhà nghiên cứu nhận định có những trường hợp các nhà phân tích và người dùng muốn chia sẻ tệp nhật ký của họ và phân tích chúng cho các mục đích khác nhau. Vì vậy, kịch bản thứ hai là một nỗ lực nhằm hỗ trợ yêu cầu này. Tập lệnh iShutdown_parse lấy một kho lưu trữ Sysdiag làm đối số và trích xuất tệp Shutdown.log từ đó, đồng thời chuyển đổi thành tệp CSV, giải mã dấu thời gian (timestamp) và tạo bản tóm tắt phân tích cú pháp bao gồm Sysdiag nguồn và hàm băm Shutdown.log được trích xuất.
Hình 4. Kết quả trích xuất và phân tích nhật ký
Kịch bản 3: iShutdown_stats
Tập lệnh cuối cùng có thể được sử dụng cho nhiều mục đích khác nhau, chủ yếu nhằm lấy số liệu thống kê trong những lần mà người dùng khởi động lại điện thoại, chẳng hạn như lần khởi động đầu tiên, lần khởi động cuối cùng và số lần khởi động lại mỗi tháng. Tập lệnh iShutdown_stats tính đến việc người dùng đã trích xuất tệp nhật ký được đề cập và lấy chính tập lệnh này chứ không phải kho lưu trữ sysdiag làm đối số.
Hình 5. Thống kê số lần khởi động lại mỗi tháng trên điện thoại
KẾT LUẬN
Để đi đến kết luận, các nhà nghiên cứu đã phân tích và xác nhận độ tin cậy của việc phát hiện nhiễm phần mềm độc hại Pegasus bằng cách sử dụng tệp Shutdown.log được lưu trữ trong Sysdiag. Đáng lưu ý, tệp nhật ký này có thể lưu trữ các mục trong vài năm, khiến nó trở thành một công cụ điều tra số có giá trị để phân tích và xác định các mục nhật ký bất thường. Ngoài ra, các nhà nghiên cứu nhấn mạnh đây không phải là giải pháp có thể phát hiện tất cả phần mềm độc hại và phương pháp này phụ thuộc vào việc người dùng khởi động lại điện thoại thường xuyên hay không.
Ngọc Hân
(Tổng hợp)
07:00 | 18/01/2024
15:00 | 16/04/2024
09:00 | 25/12/2023
07:00 | 15/01/2024
09:00 | 26/02/2025
Những năm gần đây, nhu cầu về tự động hóa, điện toán đám mây và số hóa trong các ngành công nghiệp ngày càng gia tăng. Điều này tạo điều kiện cho việc truy cập và điều khiển từ xa qua Internet, đặc biệt trong các môi trường công nghệ thông tin (IT). Sự chuyển dịch này mang lại nhiều lợi ích đáng kể, nhưng cũng đặt ra một thách thức lớn, bởi việc tích hợp các hệ thống điều khiển công nghiệp với các mạng bên ngoài đã mở rộng bề mặt tấn công, khiến các hệ thống dễ bị đe dọa mạng và đòi hỏi các biện pháp bảo vệ thích hợp.
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Điện thoại di động ngày nay không chỉ là thiết bị liên lạc mà còn là "kho chứa thông tin" cá nhân quan trọng như dữ liệu tài khoản ngân hàng, hình ảnh, email và các ứng dụng mạng xã hội. Vì vậy, việc mất điện thoại hoặc bị đánh cắp không chỉ gây thiệt hại về vật chất mà còn đe dọa nghiêm trọng đến bảo mật thông tin cá nhân của chủ sở hữu thiết bị. Bài viết dưới đây sẽ cung cấp hướng dẫn chi tiết về cách bảo vệ dữ liệu trong tình huống này.
14:00 | 10/03/2025
