卡巴斯基揭示检测Pegasus间谍软件的新方法

卡巴斯基的全球研究与分析团队（GReAT）开发出一种轻量级方法，通过分析先前未被关注的取证工件Shutdown.log，来检测像Pegasus、Reign和Predator等复杂iOS间谍软件的感染迹象。

该公司的专家发现，Pegasus感染会在系统日志Shutdown.log中留下痕迹，该日志存储在任何移动iOS设备的sysdiagnose存档中。该存档保留了每次重新启动会话的信息，这意味着如果受感染的用户重新启动他们的设备，与Pegasus恶意软件相关的异常将在日志中显现。

其中一些被识别出来的是阻碍重新启动的“粘性”进程，特别是与Pegasus相关的进程，还有通过网络安全社区观察发现的感染痕迹。

“sysdiag dump分析被证明具有侵入性最小、资源占用少的特点，依靠基于系统的工件来识别潜在的iPhone感染。在获得此日志中的感染迹象并使用Mobile Verification Toolkit（MVT）处理其他iOS工件以确认感染后，此日志现在成为调查iOS恶意软件感染的整体方法的一部分。由于我们确认了这种行为与我们分析的其他Pegasus感染的一致性，我们相信它将作为可靠的取证部位来支持感染分析，“卡巴斯基全球研究与分析团队首席安全研究员Maher Yamout 评论说。

卡巴斯基专家分析了Pegasus感染中的Shutdown.log，观察到一个常见的感染路径，具体是“/private/var/db/”，与Reign和Predator等其他iOS恶意软件造成的感染路径相一致。卡巴斯基公司的研究人员认为，该日志文件具有识别与这些恶意软件家族相关的感染的潜力。

为了简化对间谍软件感染的搜查，卡巴斯基的专家开发了一个供用户使用的自检工具。这些基于Python3的脚本方便了对Shutdown.log工件的提取、分析和解析。该工具已在GitHub上公开共享，并可用于macOS、Windows和Linux。

 诸如Pegasus一类的iOS间谍软件具有高度复杂性。虽然网络社区可能并不总是能够阻止成功的攻击，但用户可以采取措施增加攻击者的难度。为了在iOS上防范高级间谍软件，卡巴斯基的专家建议采取以下措施：

• 每日重启设备：根据国际特赦组织和公民实验室的研究，Pegasus经常依赖于零点击的零日漏洞，没有持久性。定期每天重新启动设备可以帮助清除设备上的恶意软件，迫使攻击者需要反复重新感染，随着时间的推移，增加感染被发现的机会。
• 锁定模式：有多份公开报告表明，苹果新增的锁定模式在阻止iOS恶意软件感染方面取得了成功。
• 禁用iMessage和Facetime：默认启用的iMessage是一个极具吸引力的利用载体。禁用它可以降低成为零点击链受害者的风险。同样的建议也适用于Facetime，它是另一个潜在的攻击载体。
• 保持设备更新：及时安装最新的iOS补丁，因为许多iOS攻击工具利用的是已经修补的漏洞。有些国家级的攻击者利用了用户延迟更新补丁的情况，而及时更新对于拦截这类攻击非常重要。
• 谨慎处理链接：避免点击在消息中收到的链接，因为Pegasus分发者可能会通过短信、其他即时通讯工具或电子邮件分发一键点击漏洞利用程序。
• 定期检查备份和Sysdiagnose：使用移动验证工具包（MVT）和卡巴斯基的工具处理加密的备份和Sysdiagnose存档可以帮助检测iOS恶意软件。

通过将这些做法纳入日常操作中，用户可以加强对高级iOS间谍软件的防御，降低遭到攻击的风险。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.