卡巴斯基的全球研究与分析团队(GReAT)开发出一种轻量级方法,通过分析先前未被关注的取证工件Shutdown.log,来检测像Pegasus、Reign和Predator等复杂iOS间谍软件的感染迹象。
该公司的专家发现,Pegasus感染会在系统日志Shutdown.log中留下痕迹,该日志存储在任何移动iOS设备的sysdiagnose存档中。该存档保留了每次重新启动会话的信息,这意味着如果受感染的用户重新启动他们的设备,与Pegasus恶意软件相关的异常将在日志中显现。
其中一些被识别出来的是阻碍重新启动的“粘性”进程,特别是与Pegasus相关的进程,还有通过网络安全社区观察发现的感染痕迹。
“sysdiag dump分析被证明具有侵入性最小、资源占用少的特点,依靠基于系统的工件来识别潜在的iPhone感染。在获得此日志中的感染迹象并使用Mobile Verification Toolkit(MVT)处理其他iOS工件以确认感染后,此日志现在成为调查iOS恶意软件感染的整体方法的一部分。由于我们确认了这种行为与我们分析的其他Pegasus感染的一致性,我们相信它将作为可靠的取证部位来支持感染分析,“卡巴斯基全球研究与分析团队首席安全研究员Maher Yamout 评论说。
卡巴斯基专家分析了Pegasus感染中的Shutdown.log,观察到一个常见的感染路径,具体是“/private/var/db/”,与Reign和Predator等其他iOS恶意软件造成的感染路径相一致。卡巴斯基公司的研究人员认为,该日志文件具有识别与这些恶意软件家族相关的感染的潜力。
为了简化对间谍软件感染的搜查,卡巴斯基的专家开发了一个供用户使用的自检工具。这些基于Python3的脚本方便了对Shutdown.log工件的提取、分析和解析。该工具已在GitHub上公开共享,并可用于macOS、Windows和Linux。
诸如Pegasus一类的iOS间谍软件具有高度复杂性。虽然网络社区可能并不总是能够阻止成功的攻击,但用户可以采取措施增加攻击者的难度。为了在iOS上防范高级间谍软件,卡巴斯基的专家建议采取以下措施:
通过将这些做法纳入日常操作中,用户可以加强对高级iOS间谍软件的防御,降低遭到攻击的风险。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.