Zum Hauptinhalt springen

Pegasus: Kaspersky stellt neues Erkennungs-Tool für Spyware vor

16. Januar 2024

Um entsprechende Spyware-Infektionen einfacher zu identifizieren, haben die Kaspersky-Experten ein Selbstcheck-Tool für Nutzer entwickelt.

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine neue Erkennungsmethode für Pegasus und ähnlich ausgeklügelte iOS-Spyware entwickelt. Damit stellt der Cybersicherheitsanbieter auf Github ein öffentlich verfügbares Tool zum Infektionscheck zur Verfügung [1].

Die Spyware Pegasus kam jüngst in Deutschland zum Einsatz [2]. Um entsprechende Spyware-Infektionen einfacher zu identifizieren, haben die Kaspersky-Experten ein Selbstcheck-Tool für Nutzer entwickelt. Neben Pegasus werden auch die iOS-Spyware Reign [3] und Predator [4] erkannt.

Die neue Erkennungsmethode konnten die Experten von Kaspersky entwickeln, da sie erkannten, dass Pegasus-Infektionen Spuren im Systemprotokoll „Shutdown.log“, das im Diagnosearchiv jedes mobilen iOS-Geräts enthalten ist, hinterlassen. Das Archiv enthält Informationen zu jedem Reboot-Vorgang, so dass Anomalien der Pegasus-Malware im Protokoll sichtbar werden, sobald ein infizierter Nutzer sein Gerät neu startet. Dazu gehören unter anderem, insbesondere bei der Pegasus-Spyware, „haftende“ Prozesse, die Neustarts verhindern, sowie Infektionsspuren, die von der Cybersicherheitscommunity entdeckt wurden [5].

Bei der Analyse der Shutdown.log von Pegasus-Infektionen fanden die Kaspersky-Experten den Infektionspfad „/private/var/db/“, der den Pfaden anderer iOS-Malware wie Reign und Predator entsprach. Die Kaspersky-Experten gehen davon aus, dass diese Protokolldatei das Potenzial birgt, Infektionen im Zusammenhang mit diesen Malware-Familien zu identifizieren.

Basierend auf diesen Erkenntnissen wurde ein Selbstcheck-Tool für Nutzer entwickelt. Mit Hilfe des The-Python3-Skripts [6] kann der Shutdown.log leichter extrahiert, analysiert und geparst werden. Das Tool ist frei auf Github für macOS, Windows und Linux verfügbar.

„Die Analyse des Sysdiag Dump ist eine minimalinvasive und ressourcenschonende Methode, die sich auf systembasierte Artefakte stützt, um potenzielle iPhone-Infektionen zu identifizieren“, erklärt Maher Yamout, Lead Security Researcher im GReAT von Kaspersky. „Durch den Infektionsindikator aus diesem Protokoll und die Bestätigung der Infektion mit Hilfe der Verarbeitung anderer iOS-Artefakte durch das MVT (Mobile Verification Toolkit) wird das Protokoll nun Teil eines holistischen Ansatzes zur Untersuchung von iOS-Malwareinfektionen. Wir haben die Verhaltensübereinstimmung mit anderen analysierten Pegasus-Infektionen verifiziert, so dass wir davon ausgehen, dass es als zuverlässiges forensisches Artefakt zur Unterstützung der Infektionsanalyse dienen wird.“

Kaspersky-Empfehlungen zum Schutz vor fortgeschrittener iOS-Spyware

  • Geräte täglich neustarten. Denn Untersuchungen von Amnesty International und Citizen Lab zufolge basiert Pegasus oft auf nicht persistenten Zero-Click-Zero-Day-Exploits. Ein regelmäßiger Neustart kann helfen, das Gerät zu bereinigen; Angreifer müssten es damit immer wieder neu infizieren.
  • Den Lockdown-Modus nutzen, da öffentliche Berichte diesem Erfolge beim Blockieren von iOS-Malware-Infektionen attestieren.
  • iMessage und Facetime deaktivieren, die zu den am häufigsten ausgenutzten Diensten durch Hacker zählen, weshalb das Deaktivieren dieser das Risiko reduziert, von Zero-Click-Ketten infiziert zu werden.
  • Mobilgeräte regelmäßig updaten. Die neuesten iOS-Patches sollten umgehend installiert werden, da viele iOS-Exploit-Kits auf bereits gepatchte Schwachstellen abzielen.
  • Keine Links in Nachrichten öffnen, da Pegasus über 1-Click-Exploits per SMS, E-Mail oder Messenger verbreitet werden kann.
  • egelmäßig Back-ups erstellen und Systemdiagnosen durchführen; Kaspersky-Tools [7] können bei der Erkennung von iOS-Malware helfen.

Das Tool zur Erkennung von Infektionen mit Pegasus ist verfügbar unter https://github.com/KasperskyLab/iShutdown

 

[1] https://github.com/KasperskyLab/iShutdown

[2] https://www.heise.de/news/Bericht-BKA-hat-Staatstrojaner-gegen-Reichsbuerger-eingesetzt-9595145.html

[3] https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/

[4] https://citizenlab.ca/2023/10/predator-spyware-targets-us-eu-lawmakers-journalists/

[5] https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/

[6] https://github.com/KasperskyLab/iShutdown

[7] https://github.com/kasperskylab

Nützliche Links:

Pegasus: Kaspersky stellt neues Erkennungs-Tool für Spyware vor

Um entsprechende Spyware-Infektionen einfacher zu identifizieren, haben die Kaspersky-Experten ein Selbstcheck-Tool für Nutzer entwickelt.
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen