卡巴斯基的研究团队发现iOS设备的Shutdown.log可以揭示间谍软件如Peagasus、Reign和Predator的痕迹。他们开发的Python脚本帮助用户分析此日志,提高对抗iOS恶意软件的能力。建议采取措施如定期重启和更新以防范攻击。
卡巴斯基全球研究与分析团队(GReAT)发布了一种新的轻量级方法,用于检测复杂的iOS间谍软件,包括著名的威胁如佩加索斯、Reign和Predator。
在今天发布的一份咨询中,研究人员表示,他们专注于分析先前被忽视的法庭取证工具Shutdown.log,该工具存储在iOS设备的sysdiagnose存档中,保留了每个重新启动会话的信息。
在重新启动期间,与佩加索斯相关的异常现象变得明显。特别是与佩加索斯相关的“粘滞”进程阻碍重新启动的实例被识别出来。然后,这些发现得到了来自更广泛的网络安全社区的观察的证实。
在Shutdown.log中对佩加索斯感染的进一步分析显示了一个常见的感染路径,“/private/var/db/”,类似于Reign和Predator引起的感染中看到的路径。卡巴斯基的研究人员建议,这个日志文件具有识别与这些恶意软件家族相关的感染的潜力。
卡巴斯基的GReAT主管安全研究员Maher Yamout解释说:“在通过其他iOS工件的Mobile Verification Toolkit(MVT)处理确认感染后,该日志现在成为调查iOS恶意软件感染的整体方法的一部分。”
“由于我们证实了这种行为与我们分析的其他佩加索斯感染的一致性,我们相信它将成为支持感染分析的可靠法庭证据。”
为了赋予用户在对抗iOS间谍软件方面更多权力,卡巴斯基的专家还开发了一个在GitHub上共享的自检实用程序。这个Python3脚本简化了对Shutdown.log工具的提取、分析和解析,适用于macOS、Windows和Linux用户。
总体而言,鉴于iOS间谍软件日益复杂,卡巴斯基推荐采取几项措施来防范潜在的攻击。
这些包括每天重新启动以打断潜在的感染、利用苹果的锁定模式以及禁用iMessage和FaceTime。此外,及时更新iOS以安装最新的补丁、对链接保持谨慎,并定期检查备份和系统诊断存档。
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
