卡巴斯基GReAT发布新工具,用于识别Pegasus和其他iOS间谍软件
source link: https://www.51cto.com/article/779695.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
卡巴斯基GReAT发布新工具,用于识别Pegasus和其他iOS间谍软件
Infosecurity网站消息,近日,卡巴斯基全球研究与分析团队(GReAT)发布了一种新的轻量级方法,用于检测复杂的iOS间谍软件,包括臭名昭著的Pegasus、Reign和Predator等软件。
研究人员重点分析了之前被忽视的取证工件"Shutdown.log",发现该工件存储在iOS设备的sysdiagnose归档中,并记录了每个重启会话的信息。
他们还发现,在系统重新启动的过程中,可以明显观察到与Pegasus相关的异常现象,一些与Pegasus相关的"粘滞"进程阻碍了系统重新启动,这些发现已经得到了网络安全社区的证实。
而对Shutdown.log中Pegasus感染的进一步分析揭示了一个常见的感染路径,即"/private/var/db/",它与Reign和Predator引起的感染中所见的路径相似。研究人员指出,该日志可用于识别与这些恶意软件组织相关的感染。
卡巴斯基GReAT首席安全研究员Maher Yamout解释道:“我们通过该日志中的感染指示器,并使用移动验证工具包(MVT)对其他iOS证据进行处理,确认了感染情况。因此,该日志将成为综合调查iOS恶意软件感染的重要组成部分。”
Maher Yamout进一步表示:“鉴于这种行为与我们分析的其他Pegasus感染一致,我们相信该日志可以作为可靠的取证工件,支持感染分析。”
为了增强用户在对抗iOS间谍软件方面的能力,卡巴斯基专家还开发了一个自检实用工具,并在GitHub上分享了该工具。这个Python3脚本适用于macOS、Windows和Linux用户,方便用户提取、分析和解析Shutdown.log工件。
综上所述,考虑到iOS间谍软件日益复杂化的情况,卡巴斯基建议采取以下几项措施以减少潜在攻击的威胁。
每天重新启动设备打断潜在的感染,使用苹果的锁定模式并禁用iMessage和FaceTime功能。
及时更新iOS安装最新的版本补丁,谨慎点击链接,并定期检查备份和系统诊断存档。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK