卡巴斯基釋出輕量級工具,可檢測Pegasus及其他iOS惡意軟體

Editor發表於2024-01-17

1月16日,卡巴斯基全球研究與分析團隊(GReAT)公佈了一種用於檢測iOS惡意軟體的輕量級方法,能夠檢測出Pegasus、Reign、Predator等知名複雜惡意軟體。


卡巴斯基分析發現,惡意軟體感染會在一個系統日誌Shutdown.log中留下痕跡。Shutdown.log是一個在任何移動iOS裝置上都可以找到的系統日誌檔案。此檔案會記錄下每次的重啟事件,同時記錄多個環境特徵,並且還儲存著多年的條目。


卡巴斯基釋出輕量級工具,可檢測Pegasus及其他iOS惡意軟體


檢測的原理是:當使用者重新啟動裝置時,作業系統會嘗試在重啟前終止仍在執行的程式。若此時仍有程式在執行,則會記錄其程式識別符號(PID)和相應的檔案系統路徑,日誌條目指出這些程式阻止了正常的重新啟動,另外還提供了一個UNIX時間戳。


該日誌檔案儲存在sysdiagnose(sysdiag)存檔中。Sysdiag是為除錯及故障排除目的而生成的系統日誌和資料庫的集合。生成sysdiag存檔的方法因iOS版本而異,該存檔可以在作業系統的常規設定中找到。等待數分鐘建立完一個200-400MB大小的.tar.gz檔案後,便可以將該檔案傳輸到分析機上進行後續處理。卡巴斯基在GitHub上提供了一些Python3指令碼,以幫助使用者自動化提取、分析、解析Shutdown.log數字取證物。


卡巴斯基表示,迄今為止,分析iOS感染的常見方法要麼是檢查加密的完整iOS備份,要麼是分析裝置的網路流量,但這兩種方法要麼非常耗時,要麼需要高水平的專業知識。相較之下,他們公佈的這種輕量級檢測方法相當方便且沒什麼門檻。同時卡巴斯基也強調,這並不是一種能夠檢測所有惡意軟體的萬能藥,這種方法較為依賴於使用者儘可能頻繁地重啟手機。



編輯:左右裡

資訊來源:Kaspersky

轉載請註明出處和本文連結

相關文章