การอัปเดต iOS 26 ลบ IOC สำคัญของสปายแวร์ Pegasus และ Predator

 (iverify.io)
1 คะแนน โดย GN⁺ 2025-10-27 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในการอัปเดต iOS 26 ล่าสุด มีการเปลี่ยนวิธีจัดการไฟล์ shutdown.log ทำให้ร่องรอยการติดสปายแวร์ Pegasus และ Predator ถูกลบหายไป
  • เดิมที shutdown.log ถูกใช้เป็น หลักฐานทางนิติวิทยาศาสตร์ดิจิทัลสำคัญสำหรับการตรวจจับมัลแวร์บน iOS แต่ในเวอร์ชันใหม่ log จะถูกเขียนทับเมื่อรีบูต
  • Pegasus มีการ พัฒนาเทคนิคการลบและซ่อน log อย่างต่อเนื่อง มานานแล้ว และมีการวิเคราะห์ว่า Predator ก็ทิ้งร่องรอยลักษณะคล้ายกัน
  • การเปลี่ยนแปลงครั้งนี้ทำให้เกิดปัญหาว่า นักวิจัยความปลอดภัยและผู้ตรวจสอบทางนิติวิทยาศาสตร์ยืนยันการติดเชื้อได้ยากขึ้น
  • ในช่วงที่การโจมตีด้วยสปายแวร์เพิ่มขึ้น ประเด็นเรื่อง ผลกระทบของนโยบายการจัดการ log ของ Apple ต่อความโปร่งใสด้านความปลอดภัย จึงได้รับความสนใจอย่างมาก

บทบาทและความสำคัญของ shutdown.log

  • ไฟล์ shutdown.log เป็น log ที่บันทึกเหตุการณ์ระหว่างกระบวนการปิดเครื่องของอุปกรณ์ iOS และให้เบาะแสสำคัญต่อการตรวจจับมัลแวร์
    • ตำแหน่งไฟล์คือในโฟลเดอร์ Sysdiagnose ตามเส้นทาง system_logs.logarchive → Extra → shutdown.log
    • แม้จะถูกมองข้ามมาหลายปีในการวิเคราะห์มัลแวร์ iOS แต่จริง ๆ แล้วมันทำหน้าที่เป็น “พยานเงียบ” ที่ทิ้งร่องรอยการติดเชื้อไว้
  • มีกรณีที่ Pegasus เวอร์ชันซึ่งเปิดเผยในปี 2021 ทิ้ง ร่องรอยการติดเชื้อที่ชัดเจน (Indicator of Compromise, IOC) ไว้ใน log นี้
    • ทำให้นักวิจัยความปลอดภัยสามารถระบุอุปกรณ์ที่ติดเชื้อได้
    • หลังจากนั้น NSO Group ผู้พัฒนา Pegasus ก็ปรับปรุงเทคนิคอย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับ

กลยุทธ์การหลบเลี่ยงที่พัฒนาขึ้นของ Pegasus

  • ราวปี 2022 Pegasus เริ่มซ่อนร่องรอยด้วยวิธี ลบ shutdown.log ทิ้งทั้งหมด
    • อย่างไรก็ตาม แม้ในกระบวนการลบก็ยังเหลือร่องรอยเล็กน้อย ทำให้กลับกลายเป็นว่า log ที่สะอาดผิดปกติ ถูกใช้เป็นเบาะแสของการติดเชื้อ
    • พบรูปแบบนี้ในหลายกรณี จน การลบ log เองก็ถูกมองเป็นตัวชี้วัดการติดเชื้อ
  • หลังจากนั้นคาดว่า Pegasus ได้เพิ่ม กลไกเฝ้าติดตามการปิดเครื่องแบบเรียลไทม์และลบ log ให้หมดจด
    • นักวิจัยพบหลายกรณีในอุปกรณ์ที่ทราบว่าติดเชื้อ ซึ่ง shutdown.log ว่างเปล่าหรือถูกลบร่วมกับ IOC อื่น ๆ
    • ผลคือ ไฟล์ log ที่ถูกรีเซ็ตอย่างผิดปกติกลายเป็นตัวชี้วัดเชิง heuristic สำหรับระบุอุปกรณ์ต้องสงสัย

ร่องรอยลักษณะคล้ายกันของสปายแวร์ Predator

  • สปายแวร์ Predator ที่ถูกสังเกตในปี 2023 ก็ดูเหมือนจะเรียนรู้จากกรณีของ Pegasus เช่นกัน
    • Predator ทำการ เฝ้าดู shutdown.log พร้อมทิ้งร่องรอยของตัวเอง
    • มีการพบรูปแบบ log คล้ายกับ Pegasus จึงมีการชี้ถึง ความคล้ายคลึงกันทางเทคนิคระหว่างสปายแวร์ทั้งสอง

การเปลี่ยนแปลงใน iOS 26 และผลกระทบ

  • ใน iOS 26 มีการเปลี่ยนให้ shutdown.log ถูกเขียนทับ (overwrite) ทุกครั้งที่รีบูต
    • ในเวอร์ชันก่อนหน้า log ของแต่ละครั้งที่ปิดเครื่องจะถูกสะสมต่อท้าย (append) ทำให้บันทึกเก่ายังคงอยู่
    • ตอนนี้ทุกครั้งที่รีสตาร์ตอุปกรณ์ log เดิมจะถูกลบหมดและแทนที่ด้วย log ใหม่
  • การเปลี่ยนแปลงนี้ส่งผลให้ หลักฐานการติด Pegasus และ Predator แบบเดิมถูกลบโดยอัตโนมัติ
    • ยังไม่ชัดเจนว่า Apple ตั้งใจออกแบบเช่นนี้ หรือเป็นบั๊ก
    • อาจมีจุดประสงค์ด้านสุขอนามัยของระบบหรือการปรับปรุงประสิทธิภาพ แต่ก็ ส่งผลร้ายแรงต่อการวิเคราะห์ทางนิติวิทยาศาสตร์
  • ช่วงหลังมานี้แม้แต่ผู้บริหารระดับสูงหรือคนดังยังตกเป็นเป้าของการโจมตีด้วยสปายแวร์ ทำให้ การลบ log ในช่วงเวลานี้สร้างความกังวลอย่างมากให้ชุมชนความปลอดภัย

Pegasus 2022 IOC ในเวอร์ชันก่อน iOS 26

  • ในเวอร์ชันก่อน iOS 26 สามารถพบ IOC เฉพาะ ของการติด Pegasus 2022 ได้
    • หากมีพาธ /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking อยู่ใน shutdown.log ก็มีความเป็นไปได้สูงว่าอุปกรณ์ติดเชื้อ
    • NSO Group ใช้กลยุทธ์ ปลอมตัวเป็นชื่อ process ของระบบทั่วไป เพื่อหลีกเลี่ยงการตรวจจับ
    • ส่งผลให้การตรวจจับแบบเดิมที่อาศัยชื่อ process แบบชัดเจนทำได้ยากขึ้น

การวิเคราะห์ความสัมพันธ์ของ log ใน iOS 18 และต่ำกว่า

  • ใน iOS 18 และต่ำกว่า สามารถตัดสินการติดเชื้อได้โดย วิเคราะห์เปรียบเทียบระหว่าง log ของ containermanagerd กับ shutdown.log
    • log ของ containermanagerd บันทึกเหตุการณ์การบูตและเก็บข้อมูลได้นานหลายสัปดาห์
    • ความไม่สอดคล้องกันระหว่าง log ทั้งสอง (เช่น มีเหตุการณ์บูตมาก แต่มี log การปิดเครื่องน้อย) บ่งชี้ถึง ความเป็นไปได้ของการปกปิดโดยเจตนา
    • วิธีนี้ช่วยให้ ติดตามร่องรอยกิจกรรมของสปายแวร์ทางอ้อม ได้

มาตรการที่แนะนำก่อนอัปเดต

  • แนะนำให้ดำเนินการต่อไปนี้ก่อนอัปเดตเป็น iOS 26
    • สร้างและบันทึก Sysdiagnose ทันที เพื่อเก็บรักษา shutdown.log ปัจจุบันและหลักฐานที่เกี่ยวข้อง
    • ควร ชะลอการอัปเดต จนกว่า Apple จะแก้ปัญหาการเขียนทับ log
  • มาตรการเหล่านี้จำเป็นอย่างยิ่งเพื่อ ป้องกันการสูญหายถาวรของหลักฐานการติดเชื้อ และเพื่อเก็บข้อมูลสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ในอนาคต

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-27
ความเห็นบน Hacker News

  • รู้สึกสับสนเพราะบทความไม่ได้อธิบายว่า IOC คืออะไร
    IOC ย่อมาจาก Indicators Of Compromise ในบทความมีเขียนชื่อเต็มไว้ครั้งหนึ่ง แต่ไม่ได้ใส่วงเล็บกำกับ เลยมาแชร์เผื่อมีคนที่ไม่รู้เหมือนผม

    • ขอบคุณนะ IOC ที่ผมรู้จักมีแค่ คณะกรรมการโอลิมปิกสากล เท่านั้น
    • ในกองทัพสหรัฐฯ ใช้ IOC ในความหมายว่า Initial Operational Capability ซึ่งต่างจาก FOC (Full Operational Capability) ดู ลิงก์อธิบายคำศัพท์
    • ถ้าไม่ได้อธิบายให้ชัดเจน ตัวย่อหรืออักษรย่อก็ ไม่มีประสิทธิภาพ และสร้างกำแพงระหว่างคนที่รู้กับคนที่ไม่รู้
      เมื่อก่อนผมเกลียดมากตอนที่บน Facebook เริ่มใช้ “ISO” ในความหมายว่า “in search of” เพราะมันทำให้งงกับ ISO องค์การระหว่างประเทศว่าด้วยการมาตรฐาน
      ที่บริษัทเรา มีกฎให้ใช้เฉพาะตัวย่อที่คนทั่วไปพอเดาความหมายได้ และไม่ทำให้เข้าใจผิดเป็นอย่างอื่น
    • มีคนเล่นมุกว่า “Help stamp out TLAs” เพื่อสื่อว่าควรเลิกใช้ TLA (three-letter acronym) แบบพร่ำเพรื่อ และยังแชร์ลิงก์ ASS.md ที่เกี่ยวข้องด้วย
    • ตัวย่อสามตัวอักษร (TLA) มีชุดผสมที่เป็นไปได้แค่ 17,576 แบบ เท่านั้น

  • การที่ Apple วางตำแหน่งตัวเองเป็น บริษัทสายความเป็นส่วนตัว สุดท้ายก็เป็นแค่การตลาดของแบรนด์
    ในขณะที่ ICE ทำสัญญากับ Paragon และใช้สปายแวร์แบบ zero-click อยู่ Apple กลับลบร่องรอยนิติวิทยาศาสตร์สำคัญที่ใช้ตรวจจับการสอดแนมโดยรัฐ รวมถึงการล็อบบี้ด้วยเงินสดและทองของ Cook ทำให้ดูเหมือนกำลังแข่งกันลงต่ำในบรรดาบิ๊กเทค

    • ตอนที่ผมทำงานที่ Apple เมื่อ 10 ปีก่อน บรรยากาศภายในไม่ได้เป็นแบบนั้น ถ้ามีการเปลี่ยนแปลงแบบนี้จริงก็น่าจะเป็นเรื่องที่เพิ่งเกิดไม่นาน
      น่าจะเป็น บั๊ก มากกว่า และแทบเป็นไปไม่ได้ที่จะเป็นฟีเจอร์ที่เพิ่มเข้ามาทีหลังตามคำขอของรัฐบาล ย้อนกลับไปคดี San Bernardino กับ FBI ในอดีต Apple ก็ไม่ได้ให้ความร่วมมือ
    • ผมมองว่า Apple จะยังคง ล้มเหลวในการเสริมความปลอดภัยของ iPhone เพื่อต่อกรกับบริษัทสปายแวร์ต่อไป
    • Apple มีทั้งโครงการ bug bounty และ SDR ก็จริง แต่ก็ยังสงสัยว่านี่เป็น ความเชื่อจริงๆ หรือแค่ต้องการป้องกันความเสียหายต่อแบรนด์
      พวกเขาทำได้มากกว่านี้ แต่ไม่มีบริษัทไหนต้าน แรงกดดันทางการเมือง ได้อย่างสมบูรณ์
    • Apple เก่งเรื่อง การตลาดชวนให้เข้าใจผิด มาตั้งแต่แรกแล้ว ทั้งภาพลักษณ์รักษ์โลกปลอมๆ นโยบายซ่อมไม่ได้ และคำสัญญาเรื่องความเป็นส่วนตัวที่ไม่จริง
      ถ้าต้องการความปลอดภัยจริงๆ GrapheneOS น่าเชื่อถือกว่ามาก

  • ในระบบขนาดใหญ่ การแก้ไขเล็กน้อยก็กลายเป็น ปัญหา สำหรับใครบางคนได้เสมอ
    Apple อาจย้อนฟีเจอร์นี้กลับเพื่อปลอบชุมชน iVerify แต่ในระยะยาวสปายแวร์ก็น่าจะซ่อนตัวได้แนบเนียนยิ่งขึ้น
    ตอนนี้จำเป็นต้องมีกลยุทธ์ที่ไปไกลกว่าแค่ อาร์ติแฟกต์ทางนิติวิทยาศาสตร์

    • ช่องโหว่ iOS อย่าง Pegasus และ Predator เป็นที่รู้จักกันกว้างขวางแล้ว การที่ Apple ไม่ควบคุมวิธีตรวจจับแบบนี้ถือว่าเป็นมุมมองระยะสั้น
      ความเชื่อที่ว่า “iPhone ปลอดภัย” สุดท้ายก็เป็นแค่ ความเชื่อใจกล่องดำ เท่านั้น ใน iOS 26 ยังมีการพบบั๊กต่อเนื่อง แล้วฟีเจอร์ด้านความปลอดภัยจะเป็นข้อยกเว้นได้จริงหรือ?
    • มีการอ้างถึง xkcd 1172 และ xkcd 1053 เพื่อพูดถึงสถานการณ์นี้ในเชิงเสียดสี

  • IOC อาศัย shutdown log เป็นหลัก
    ใน iOS 26 ทุกครั้งที่บูตเครื่อง shutdown.log จะถูกเขียนทับใหม่ ทำให้บันทึกก่อนหน้าหายไป
    ผลที่ตามมาคือร่องรอยการติด Pegasus หรือ Predator ถูก ลบหายไปทั้งหมด

  • การที่ Apple ลบ shutdown log อาจเป็นมาตรการด้านความปลอดภัยเพื่อไม่ให้ผู้โจมตี วิเคราะห์เงื่อนไขการแครชหรือพฤติกรรมของอุปกรณ์ ได้
    แต่ถ้าคิดเรื่องความเป็นส่วนตัวอย่างจริงจัง ผู้ใช้ก็ควรมี สิทธิ์ในการตรวจสอบอุปกรณ์ของตัวเองอย่างลึกซึ้ง ด้วย

    • ผู้โจมตีที่อยู่ในขั้นวิจัยยังไงก็รูตเครื่องเพื่อเอาข้อมูลเพิ่มได้อยู่ดี
      สุดท้ายมาตรการแบบนี้จึงมีแต่ จำกัดผู้ใช้ทั่วไป
    • การเป็นเจ้าของอุปกรณ์ไม่ได้แปลว่าผู้ผลิตจำเป็นต้องให้ทุกความสามารถที่เจ้าของต้องการ
    • สิทธิ์เข้าถึง shutdown log ยังเปิดกว่าสิทธิ์ในการตรวจสอบโปรเซสที่กำลังรันอยู่เสียอีก
      Apple มักใช้ ความเป็นส่วนตัวเป็นข้ออ้างเพื่อเพิ่มการควบคุม อยู่เสมอ

  • ใน iOS 26 เบต้ายังไม่มีการเปลี่ยนแปลงนี้ หวังว่าจะมีการแก้ไขเร็วๆ นี้
    ตามที่อธิบายใน วิดีโอ YouTube shutdown.log เคยบันทึกรายชื่อโปรเซสที่กำลังทำงานอยู่ ซึ่งมีประโยชน์ต่อการตรวจจับ IOC
    ยังมีคำแนะนำด้วยว่าถ้าให้ความสำคัญกับความปลอดภัย ก็ควรรีบูตเครื่องทุกวัน

  • ผมเคยสงสัยว่ามีใครบางคนใน Apple ตั้งใจคงช่องโหว่ไว้เพื่อแฮ็กเกอร์อิสราเอล

    • เป็นไปได้ก็จริง แต่ iPhone คือผลิตภัณฑ์หลักของ Apple ดังนั้นการตัดสินใจแบบนั้นจะทำให้เกิด ความเสียหายร้ายแรง
      ในสหรัฐฯ คนอาจลืมกันเร็ว แต่ในตลาดเอเชียและยุโรป Apple จะสูญเสียความเชื่อมั่น
      ความเป็นไปได้ที่สมจริงกว่าคือรัฐบาล กดดันหรือดึงตัวนักพัฒนาภายใน Apple
    • ถ้าอย่างนั้นขอให้เป็นการคงช่องโหว่ไว้เพื่อ การเจลเบรก (jailbreak) ยังจะดีกว่า
    • น่าสนใจดีที่พออิสราเอลเข้ามาเกี่ยวข้อง องค์กร R&D ทุกแห่งก็ดูเหมือน กลุ่มสมคบคิด ไปหมด /s

  • แม้แต่ผู้เขียนบทความเองก็ไม่ได้ มองว่า Apple ตั้งใจขัดขวางการตรวจจับสปายแวร์
    พวกเขาแนะนำให้ชะลอการอัปเดต iOS 26 ไว้ก่อน และรอจนกว่า Apple จะแก้ไข

    • แต่สำหรับผู้ใช้ส่วนใหญ่ การมี แพตช์บั๊กทั่วไป สำคัญกว่า IOC มาก
      ถ้าคุณไม่ได้เป็นเป้าหมายระดับรัฐ การเลื่อนอัปเดตก็ถือว่า ไม่สมเหตุสมผล

  • ถ้าเป็นบทความที่ดี ก็ควรมี รายการคำศัพท์และตัวย่อ ไว้ต้นบทความ
    ถ้าไม่มี ผมก็คิดว่าไม่คุ้มจะอ่าน

  • ผมคิดว่าการที่การตรวจพิสูจน์ทางนิติวิทยาศาสตร์บน iPhone ทำได้ผ่าน backup archive เท่านั้นเป็นเรื่องไร้สาระ
    ควรเปิดให้มี system extension (EL1+) แบบเดียวกับ macOS เพื่อให้ทำ security monitoring ได้

    • ในฐานะนักวิจัยด้านความปลอดภัย ผมมองว่าความสามารถแบบนั้นจะกลายเป็น ของขวัญให้บริษัทสปายแวร์ มากกว่า
      การเข้าถึงสิทธิ์ระดับสูงมีความเสี่ยง
    • ถ้ารวมถึง memory dump ทั้งหมดด้วย ก็จะยิ่งทำให้หา ช่องโหว่สำหรับการรูต ได้ง่ายขึ้น ดังนั้น Apple คงไม่มีวันยอม
    • มีการพูดถึงในการนำเสนอของพนักงาน iVerify ที่ CCC ว่า iOS ก็ควรเปิดเผย กลไก EDR เหมือน macOS ด้วย
    • ความพยายามจะแตะ exploit ที่อยู่ในหน่วยความจำเองก็เป็น ความเสี่ยงที่ไม่จำเป็น /s