iOS 26 अपडेट से Pegasus और Predator स्पाइवेयर के प्रमुख IOC हट गए

 (iverify.io)
1 पॉइंट द्वारा GN⁺ 2025-10-27 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • नवीनतम iOS 26 अपडेट में shutdown.log फ़ाइल को हैंडल करने का तरीका बदल गया है, जिससे Pegasus और Predator स्पाइवेयर संक्रमण के निशान मिट रहे हैं
  • पहले shutdown.log को iOS malware detection के लिए अहम forensic evidence के रूप में इस्तेमाल किया जाता था, लेकिन नए वर्ज़न में रीबूट पर लॉग ओवरराइट हो जाता है
  • Pegasus पहले से ही लॉग डिलीट करने और छिपाने की तकनीकों को लगातार विकसित करता रहा है, और विश्लेषण के अनुसार Predator ने भी इसी तरह के निशान छोड़े हैं
  • इस बदलाव के कारण security researchers और forensic investigators के लिए संक्रमण की पुष्टि करना कठिन हो रहा है
  • ऐसे समय में जब स्पाइवेयर हमले बढ़ रहे हैं, Apple की लॉग-हैंडलिंग नीति का security transparency पर असर विशेष ध्यान खींच रहा है

shutdown.log की भूमिका और महत्व

  • shutdown.log फ़ाइल iOS डिवाइस के shutdown process के दौरान होने वाली events को रिकॉर्ड करने वाला लॉग है, जो malware detection में महत्वपूर्ण सुराग देता है
    • इसका स्थान Sysdiagnose फ़ोल्डर के भीतर system_logs.logarchive → Extra → shutdown.log पथ में है
    • कई वर्षों तक iOS malware analysis में इसे नज़रअंदाज़ किया गया, लेकिन वास्तव में यह संक्रमण के निशान छोड़ने वाले ‘मूक गवाह’ की भूमिका निभाता रहा
  • 2021 में सामने आए Pegasus स्पाइवेयर वर्ज़न ने इस लॉग में स्पष्ट संक्रमण संकेत (Indicator of Compromise, IOC) छोड़े थे
    • इससे security researchers संक्रमित डिवाइसों की पहचान कर पाए
    • इसके बाद Pegasus बनाने वाली कंपनी NSO Group ने detection से बचने के लिए अपनी तकनीकों में लगातार सुधार किया

Pegasus की विकसित evasion strategy

  • 2022 के आसपास Pegasus ने shutdown.log को पूरी तरह डिलीट करने के तरीके से अपने निशान छिपाने शुरू किए
    • लेकिन डिलीट करने की प्रक्रिया में भी सूक्ष्म संकेत बच जाते थे, इसलिए उल्टा ‘असामान्य रूप से साफ लॉग’ संक्रमण का सुराग बन गया
    • कई मामलों में यह पैटर्न मिला, और लॉग डिलीट होना ही infection indicator माना जाने लगा
  • इसके बाद माना गया कि Pegasus ने डिवाइस shutdown को real time में मॉनिटर कर लॉग पूरी तरह मिटाने का mechanism अपना लिया
    • शोधकर्ताओं ने कई ज्ञात संक्रमित डिवाइसों में shutdown.log को खाली पाया या उसे अन्य IOC के साथ हटाया गया पाया
    • नतीजतन असामान्य रूप से reset किए गए लॉग फ़ाइल संदिग्ध डिवाइस पहचानने के लिए heuristic indicator के रूप में उपयोग होने लगे

Predator स्पाइवेयर के समान निशान

  • 2023 में देखा गया Predator स्पाइवेयर भी Pegasus के मामलों से सीखता हुआ प्रतीत होता है
    • Predator, shutdown.log को मॉनिटर करते हुए अपने स्वयं के निशान छोड़ने वाली गतिविधि करता था
    • Pegasus जैसे लॉग पैटर्न मिलने से दोनों स्पाइवेयर के बीच तकनीकी समानता की ओर संकेत मिला

iOS 26 में बदलाव और उसका असर

  • iOS 26 में shutdown.log हर रीबूट पर ओवरराइट होने लगा है
    • पहले के वर्ज़न में हर shutdown का लॉग append होता था, इसलिए पुराने रिकॉर्ड सुरक्षित रहते थे
    • अब हर बार डिवाइस रीस्टार्ट होने पर पुराना लॉग पूरी तरह मिटकर नया लॉग उसकी जगह ले लेता है
  • इस बदलाव से Pegasus और Predator संक्रमण के पुराने सबूत अपने-आप मिट जाते हैं
    • यह Apple की जानबूझकर बनाई गई design है या bug, यह स्पष्ट नहीं है
    • यह system hygiene या performance improvement के लिए हो सकता है, लेकिन forensic analysis पर इसका गंभीर असर पड़ता है
  • हाल के समय में senior executives और celebrities भी स्पाइवेयर हमलों के निशाने पर रहे हैं, इसलिए ऐसे समय पर लॉग मिटना security community के लिए बड़ी चिंता बन गया है

iOS 26 से पहले के वर्ज़न में Pegasus 2022 IOC

  • iOS 26 से पहले के वर्ज़न में Pegasus 2022 संक्रमण का विशिष्ट IOC पहचाना गया था
    • यदि shutdown.log में /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking पथ मौजूद हो, तो संक्रमण की संभावना अधिक मानी जाती है
    • NSO Group detection से बचने के लिए सामान्य system process नामों का भेष अपनाने की रणनीति इस्तेमाल करता था
    • इससे पहले की स्पष्ट process-name आधारित detection मुश्किल हो गई

iOS 18 और उससे नीचे के वर्ज़न में लॉग correlation analysis

  • iOS 18 और उससे नीचे के वर्ज़न में containermanagerd लॉग और shutdown.log की तुलना करके संक्रमण का अनुमान लगाया जा सकता है
    • containermanagerd लॉग boot events रिकॉर्ड करता है और कई हफ्तों तक डेटा सुरक्षित रखता है
    • दोनों लॉग के बीच असंगति, जैसे boot events ज़्यादा हों लेकिन shutdown logs कम हों, जानबूझकर छिपाव की संभावना दर्शाती है
    • इससे स्पाइवेयर गतिविधि के निशानों को परोक्ष रूप से ट्रैक करना संभव था

अपडेट से पहले सुझाए गए कदम

  • iOS 26 अपडेट से पहले ये कदम उठाने की सलाह दी गई है
    • तुरंत Sysdiagnose बनाकर सुरक्षित रखें, ताकि मौजूदा shutdown.log और संबंधित सबूत संरक्षित रहें
    • जब तक Apple लॉग ओवरराइट समस्या को ठीक न कर दे, तब तक अपडेट टालना बेहतर होगा
  • ये कदम संक्रमण-सबूत के स्थायी नुकसान को रोकने और भविष्य की forensic analysis के लिए डेटा सुरक्षित करने में आवश्यक हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-27
Hacker News राय

  • लेख में IOC क्या है, यह परिभाषित नहीं किया गया था, इसलिए भ्रम हुआ
    IOC, Indicators Of Compromise का संक्षिप्त रूप है। लेख में इसे एक बार पूरा लिखा गया था, लेकिन कोष्ठक के बिना आगे बढ़ गया। सोचा, कहीं मेरी तरह कोई और भी इसे न जानता हो, इसलिए साझा कर रहा हूँ

    • धन्यवाद। मैं तो IOC को सिर्फ़ अंतरराष्ट्रीय ओलंपिक समिति के रूप में जानता था
    • अमेरिकी सेना में IOC का मतलब Initial Operational Capability होता है। इसे FOC (Full Operational Capability) से अलग किया जाता है। शब्दावली विवरण लिंक देखें
    • संक्षेप या acronym अगर साफ़ तौर पर परिभाषित न किए जाएँ, तो वे अप्रभावी होते हैं और जानने वालों और न जानने वालों के बीच दीवार खड़ी कर देते हैं
      पहले Facebook पर “ISO” का इस्तेमाल “in search of” के अर्थ में होने लगा था, जो मुझे बहुत बुरा लगा। क्योंकि इससे ISO, यानी International Organization for Standardization, के साथ भ्रम होता है।
      हमारी कंपनी में नियम है कि सिर्फ़ वही संक्षेप इस्तेमाल किए जाएँ जिनका अर्थ आम लोग भी अनुमान लगा सकें और जिन्हें किसी दूसरे अर्थ में गलत न समझा जाए
    • TLA(three-letter acronym) के दुरुपयोग को ख़त्म करने के भाव में “Help stamp out TLAs” वाला मज़ाक किया गया। साथ में ASS.md लिंक भी साझा किया गया
    • तीन-अक्षरी संक्षेप (TLA) के सिर्फ़ 17,576 संभावित संयोजन ही हैं

  • Apple ने खुद को privacy company के रूप में पेश किया था, लेकिन आख़िरकार वह सिर्फ़ brand marketing निकली
    जब ICE, Paragon के साथ कॉन्ट्रैक्ट करके zero-click spyware का इस्तेमाल कर रहा है, Apple राज्य-प्रायोजित निगरानी का पता लगाने वाले अहम forensic traces ही मिटा देता है। Cook की सोने-नकदी वाली lobbying तक जोड़ें, तो यह Big Tech में सबसे नीचे जाने की होड़ जैसा लग रहा है

    • 10 साल पहले जब मैं Apple में काम करता था, तब अंदरूनी माहौल ऐसा नहीं था। अगर ऐसा बदलाव आया है, तो संभव है कि यह हाल के समय की बात हो।
      ज़्यादा संभावना bug की लगती है, न कि सरकार के कहने पर देर से जोड़ी गई किसी सुविधा की। FBI के साथ San Bernardino case में भी Apple ने सहयोग नहीं किया था
    • मुझे लगता है Apple आगे भी spyware vendors के ख़िलाफ़ iPhone security मज़बूत करने में विफल रहेगा
    • Apple bug bounty और SDR program चलाता है, लेकिन यह सचमुच की प्रतिबद्धता है या सिर्फ़ brand damage रोकने का तरीका, इस पर संदेह है।
      वे और कर सकते हैं, लेकिन कोई भी कंपनी राजनीतिक दबाव के सामने पूरी तरह टिकना कठिन पाती है
    • Apple शुरू से ही भ्रामक marketing में माहिर रहा है। झूठी पर्यावरणीय छवि, repair न करने वाली नीतियाँ, और privacy के खोखले वादे।
      अगर सच में सुरक्षा चाहिए, तो GrapheneOS कहीं ज़्यादा भरोसेमंद है

  • बड़े सिस्टमों में छोटी-सी तब्दीली भी किसी न किसी के लिए समस्या बन जाती है
    Apple, iVerify community को शांत करने के लिए यह फीचर वापस ला सकता है, लेकिन लंबे समय में spyware और चालाकी से छिपना सीख जाएगा।
    अब केवल साधारण forensic artifacts से आगे बढ़ने वाली रणनीति चाहिए

    • Pegasus और Predator जैसे iOS exploits अब काफ़ी जाने-पहचाने हैं, इसलिए Apple का ऐसे detection methods पर नियंत्रण रखना दूरदर्शिता की कमी है।
      “iPhone सुरक्षित है” वाला भरोसा आख़िरकार सिर्फ़ black-box trust ही है। iOS26 में bugs लगातार मिल रहे हैं, तो क्या security features वाक़ई अपवाद होंगे?
    • xkcd 1172 और xkcd 1053 का हवाला देकर इस स्थिति पर व्यंग्य किया गया

  • IOC, shutdown logs पर आधारित है
    iOS 26 में हर boot पर shutdown.log नया लिख दिया जाता है और पुराना रिकॉर्ड मिट जाता है।
    इससे Pegasus या Predator infection के निशान पूरी तरह मिट जाते हैं

  • Apple द्वारा shutdown logs मिटाना शायद ऐसी security measure हो सकती है, ताकि attacker crash conditions या device behavior का विश्लेषण न कर सके
    लेकिन अगर privacy को गंभीरता से लिया जाए, तो user को अपने ही device को गहराई से देखने का अधिकार भी होना चाहिए

    • research phase का attacker तो वैसे भी root करके और ज़्यादा जानकारी निकाल सकता है।
      आख़िर में ऐसी पाबंदी सिर्फ़ आम users को सीमित करती है
    • सिर्फ़ device का मालिक होना यह नहीं तय करता कि manufacturer को आपकी चाही हर सुविधा देनी ही चाहिए
    • shutdown logs की access से भी ज़्यादा, running processes देखने की permission सीमित है।
      Apple हमेशा privacy के नाम पर नियंत्रण बढ़ाने को सही ठहराता है

  • iOS 26 beta में ऐसा बदलाव नहीं था। उम्मीद है जल्द ठीक होगा
    जैसा YouTube वीडियो में समझाया गया है, shutdown.log running processes की सूची रिकॉर्ड करता था, इसलिए IOC detection में काम आता था।
    security को प्राथमिकता देने वालों के लिए रोज़ reboot करने की सलाह भी दी जाती है

  • मुझे लंबे समय से शक रहा है कि Apple के अंदर कोई इज़राइली hackers के लिए जानबूझकर कुछ vulnerabilities छोड़ता है

    • यह संभव तो है, लेकिन iPhone Apple का मुख्य product है, इसलिए ऐसा फ़ैसला भारी नुकसान करेगा।
      अमेरिका में लोग शायद जल्दी भूल जाएँ, लेकिन एशिया और यूरोप के बाज़ारों में भरोसा टूट जाएगा।
      इसके बजाय यह ज़्यादा यथार्थवादी लगता है कि सरकार ने Apple के किसी developer पर दबाव डाला हो या उसे अपने पक्ष में कर लिया हो
    • अगर यह jailbreak के लिए vulnerabilities बचाकर रखने जैसा हो, तो वह ज़्यादा अच्छा लगेगा
    • यह दिलचस्प है कि जैसे ही इज़राइल का नाम आता है, हर R&D संगठन साज़िशी गिरोह जैसा दिखने लगता है /s

  • लेख के लेखक भी यह नहीं मानते कि Apple ने जानबूझकर spyware detection रोकने की कोशिश की
    सलाह यही है कि iOS 26 update को थोड़ी देर टाल दें और Apple के fix का इंतज़ार करें

    • लेकिन ज़्यादातर users के लिए IOC से ज़्यादा सामान्य bug fixes महत्वपूर्ण हैं।
      अगर आप किसी nation-state स्तर के target नहीं हैं, तो update टालना तर्कसंगत नहीं है

  • एक अच्छा लेख हो, तो उसके शुरू में शब्दों और संक्षेपों की सूची होनी चाहिए।
    अगर ऐसा नहीं है, तो उसे पढ़ने लायक नहीं मानता

  • यह बात बेतुकी लगती है कि iPhone forensics सिर्फ़ backup archive के ज़रिए ही संभव है
    macOS की तरह system extensions (EL1+) की अनुमति होनी चाहिए, ताकि security monitoring संभव हो सके

    • एक security researcher के तौर पर, ऐसी सुविधा उल्टा spyware vendors के लिए तोहफ़ा बन जाएगी।
      high-privilege access ख़तरनाक है
    • अगर full memory dump शामिल हो, तो rooting vulnerabilities ढूँढना आसान हो जाएगा, इसलिए Apple इसे कभी मंज़ूरी नहीं देगा
    • CCC में iVerify के एक कर्मचारी की प्रस्तुति में यह सुझाव था कि macOS की तरह iOS पर भी EDR mechanisms को exposed किया जाना चाहिए
    • memory में मौजूद exploits को छेड़ने की कोशिश करना ही अनावश्यक जोखिम है /s