卡巴斯基GReAT发布新工具,用于识别Pegasus和其他iOS间谍软件

安全
近日,卡巴斯基全球研究与分析团队(GReAT)发布了一种新的轻量级方法,用于检测复杂的iOS间谍软件,包括臭名昭著的Pegasus、Reign和Predator等软件。

Infosecurity网站消息,近日,卡巴斯基全球研究与分析团队(GReAT)发布了一种新的轻量级方法,用于检测复杂的iOS间谍软件,包括臭名昭著的Pegasus、Reign和Predator等软件。

研究人员重点分析了之前被忽视的取证工件"Shutdown.log",发现该工件存储在iOS设备的sysdiagnose归档中,并记录了每个重启会话的信息。

他们还发现,在系统重新启动的过程中,可以明显观察到与Pegasus相关的异常现象,一些与Pegasus相关的"粘滞"进程阻碍了系统重新启动,这些发现已经得到了网络安全社区的证实。

而对Shutdown.log中Pegasus感染的进一步分析揭示了一个常见的感染路径,即"/private/var/db/",它与Reign和Predator引起的感染中所见的路径相似。研究人员指出,该日志可用于识别与这些恶意软件组织相关的感染。

卡巴斯基GReAT首席安全研究员Maher Yamout解释道:“我们通过该日志中的感染指示器,并使用移动验证工具包(MVT)对其他iOS证据进行处理,确认了感染情况。因此,该日志将成为综合调查iOS恶意软件感染的重要组成部分。”

Maher Yamout进一步表示:“鉴于这种行为与我们分析的其他Pegasus感染一致,我们相信该日志可以作为可靠的取证工件,支持感染分析。”

为了增强用户在对抗iOS间谍软件方面的能力,卡巴斯基专家还开发了一个自检实用工具,并在GitHub上分享了该工具。这个Python3脚本适用于macOS、Windows和Linux用户,方便用户提取、分析和解析Shutdown.log工件。

综上所述,考虑到iOS间谍软件日益复杂化的情况,卡巴斯基建议采取以下几项措施以减少潜在攻击的威胁。

每天重新启动设备打断潜在的感染,使用苹果的锁定模式并禁用iMessage和FaceTime功能。

及时更新iOS安装最新的版本补丁,谨慎点击链接,并定期检查备份和系统诊断存档。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2016-08-31 08:47:59

2014-02-12 10:46:31

2023-02-21 21:50:07

2022-01-10 17:35:26

Pegasus间谍软件

2022-07-28 11:47:22

网络安全间谍软件

2012-05-22 22:32:58

2014-08-05 13:46:36

2021-12-15 10:10:35

NSO间谍软件攻击

2009-01-11 10:43:16

2013-07-16 19:19:32

2020-11-12 17:16:26

卡巴斯基报告安全

2015-12-09 11:35:44

2011-03-03 14:14:33

2009-04-05 10:26:47

2010-09-25 11:05:11

卡巴斯基在线

2009-03-10 08:19:02

2013-06-26 13:52:49

点赞
收藏

51CTO技术栈公众号