網絡安全公司卡巴斯基(Kaspersky間諜軟件,包括諸如Pegasus,Reign和Predator等複雜菌株。創新方法涉及分析shutdown.log,這是移動iOS設備中被忽視的法醫人工製品。
識別iPhone上的飛馬的痕跡
卡巴斯基的專家提出了一個值得注意的發現,確定了飛馬關閉中的感染。存儲在iOS設備的Sysdiagnose檔案中。該存檔捕獲了每個重啟會話中的信息,允許與Pegasus惡意軟件關聯的異常在設備重新啟動的日誌中浮出水面。
在確定的指標之一中,不尋常的實例,例如阻礙重新啟動的“粘性”過程,尤其是與飛馬相關的過程。根據Kaspersky的說法,網絡安全社區的觀察也有助於檢測感染痕跡。
卡巴斯基全球研究和分析團隊(Great)的安全研究人員Maher Yamout,“ Sysdiag轉儲分析被證明是最小的侵入性和資源照明的,依靠基於系統的人工製品來識別潛在的iPhone感染。”在一份聲明中說。
通過通過移動驗證工具包處理其他iOS工件來確認感染,shutdown.log成為研究iOS惡意軟件感染的綜合方法的組成部分。
卡巴斯基專家在分析關閉的Pegasus感染時,檢測到了一種常見的感染路徑,尤其是“/私人/var/db/”,這反映了在其他iOS惡意軟件(如統治和捕食者)引起的感染中觀察到的路徑。
研究人員認為,該日誌文件具有檢測與這些惡意軟件系列相關的感染的潛力。
為了簡化間諜軟件感染的識別,卡巴斯基的專家為用戶創建了一個自我評估工具。利用Python3腳本,此工具允許進行shutdown.log偽像的提取,分析和解析。它也已在GitHub上公開共享,可確保MacOS,Windows和Linux平台上的用戶可訪問性。
如何保護自己免受高級iOS間諜軟件的侵害
除了創新檢測方法外,卡巴斯基還為用戶提供了針對先進iOS間諜軟件的防禦能力的實用技巧:
1。重新啟動每日:常規的每日重新啟動可能會破壞零點擊0天的漏洞的持久性,這使得攻擊者有必要反復重新感染,這可能會增加隨著時間的推移檢測機會。
2。鎖定模式:蘋果新添加的鎖定模式在阻斷iOS惡意軟件感染方面取得了成功。
3。禁用iMessage和FaceTime:禁用這些默認功能會降低成為零單擊鏈的受害者的可能性,從而最大程度地減少潛在的剝削向量。
4.保持設備更新:及時安裝最新的iOS補丁,以保持針對已知漏洞的漏洞利用套件。
5.鍛煉謹慎鏈接:研究人員建議用戶不要單擊消息中收到的鏈接,以最大程度地減少通過各種渠道提供的1鍵式漏洞的受害者的風險。
6。定期檢查備份和系統:定期處理備份和Sysdiagnose檔案,並使用MVT和Kaspersky的AIDS等工具及時檢測iOS惡意軟件。
