彭卡·赫里斯托夫斯卡
研究人员在 卡巴斯基 开发了一种新方法来检测复杂的 iOS 间谍软件的感染,并为 iOS 用户发布了一个轻量级工具来保护他们的设备。
工具, 关机,能够识别 iOS 上至少 3 个难以检测的间谍软件系列的间谍软件迹象,包括 Pegasus、Intellexa 的 Predator 和 QuaDream 的 Reign。
卡巴斯基全球研究与分析团队 (GReAT) 发现,这些感染会在一个经常被忽视的名为 Shutdown.log 的系统文件中留下痕迹,该文件位于 iOS 设备的 sysdiagnose 存档中,每次重新启动 iOS 设备时都会记录详细信息。研究人员解释说,当感染 Pegasus 恶意软件的 iOS 设备重新启动时,该文件会记录表明间谍软件存在的异常情况。
在这些异常情况中,该团队发现了破坏正常重启过程的“粘性”进程,这一特征通常与 Pegasus 相关。他们还通过将调查结果与网络安全社区报告的间谍软件的已知行为进行比较,发现了感染的痕迹。
此外,在对感染 Pegasus 的设备中的 Shutdown.log 文件进行分析时,团队注意到文件路径“/private/var/db/”中存在重复出现的模式,这与其他 iOS 恶意软件感染中发现的模式类似,例如统治与掠夺者。
“事实证明,sysdiag 转储分析的侵入性极低且资源消耗少,它依靠基于系统的工件来识别潜在的 iPhone 感染。在收到此日志中的感染指示符并使用移动验证工具包 (MVT) 处理其他 iOS 工件确认感染后,此日志现在成为调查 iOS 恶意软件感染的整体方法的一部分。”分析团队 Maher Yamout。
根据这些观察结果,卡巴斯基的研究人员认为 Shutdown.log 文件可能是识别感染此类恶意软件的设备的关键资源。
Yamout 补充道:“由于我们确认了这种行为与我们分析的其他 Pegasus 感染的一致性,因此我们相信它将作为支持感染分析的可靠法医制品。”
- :是
- 40
- a
- 添加
- 联盟
- 还
- an
- 分析
- 分析
- 和
- 的途径
- 档案
- 保健
- AS
- At
- 头像
- BE
- 成为
- 行为
- 相信
- by
- 被称为
- 能力
- 特点
- 社体的一部分
- 比较
- CONFIRMED
- 可以
- 网络安全
- 详情
- 检测
- 发达
- 设备
- 设备
- 发现
- 破坏
- 倾倒
- 所有的
- 说明
- 家庭
- 文件
- 档
- 发现
- 针对
- 法医
- 发现
- 止
- 全球
- 大
- 有
- 整体
- HTTPS
- 确定
- 鉴定
- 确定
- in
- 包含
- 指示
- 指示符
- 感染
- 併发感染
- 推出
- iOS
- iPhone
- IT
- 卡巴斯基
- 键
- 已知
- 铅
- 最少
- 离开
- 轻巧
- 喜欢
- 友情链接
- 链接
- 位于
- 日志
- 恶意软件
- 方法
- 联络号码
- 全新
- 正常
- 现在
- 意见
- of
- 经常
- on
- 其他名称
- 部分
- 径
- 模式
- 飞马
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 潜力
- 捕食
- 存在
- 过程
- 过程
- 处理
- 保护
- 证明
- 收到
- 记录
- 经常性
- 发布
- 可靠
- 依托
- 报道
- 研究
- 研究员
- 研究人员
- 资源
- 重新启动
- 说
- 保安
- 服务
- 关闭
- 迹象
- 类似
- 极致
- 间谍
- 建议
- SUPPORT
- 系统
- 团队
- 这
- 其
- 博曼
- 他们
- Free Introduction
- 那些
- 次
- 至
- 工具
- 工具箱
- 类型
- 用户
- 运用
- 企业验证
- we
- 网页
- ,尤其是
- 这
- 将
- 和风网