卡巴斯基 GReAT 发布新工具，用于识别 Pegasus 和其他 iOS 间谍软件

Infosecurity 网站消息，近日，卡巴斯基全球研究与分析团队（GReAT）发布了一种新的轻量级方法，用于检测复杂的 iOS 间谍软件，包括臭名昭著的 Pegasus、Reign 和 Predator 等软件。

研究人员重点分析了之前被忽视的取证工件”Shutdown.log”，发现该工件存储在iOS设备的 sysdiagnose 归档中，并记录了每个重启会话的信息。

他们还发现，在系统重新启动的过程中，可以明显观察到与 Pegasus 相关的异常现象，一些与 Pegasus 相关的”粘滞”进程阻碍了系统重新启动，这些发现已经得到了网络安全社区的证实。

而对 Shutdown.log 中 Pegasus 感染的进一步分析揭示了一个常见的感染路径，即”/private/var/db/”，它与 Reign 和 Predator 引起的感染中所见的路径相似。研究人员指出，该日志可用于识别与这些恶意软件组织相关的感染。

卡巴斯基 GReAT 首席安全研究员 Maher Yamout 解释道：“我们通过该日志中的感染指示器，并使用移动验证工具包（MVT）对其他 iOS 证据进行处理，确认了感染情况。因此，该日志将成为综合调查 iOS 恶意软件感染的重要组成部分。”

Maher Yamout 进一步表示：“鉴于这种行为与我们分析的其他 Pegasus 感染一致，我们相信该日志可以作为可靠的取证工件，支持感染分析。”

为了增强用户在对抗 iOS 间谍软件方面的能力，卡巴斯基专家还开发了一个自检实用工具，并在 GitHub 上分享了该工具。这个 Python3 脚本适用于 macOS、Windows 和 Linux 用户，方便用户提取、分析和解析 Shutdown.log 工件。

综上所述，考虑到 iOS 间谍软件日益复杂化的情况，卡巴斯基建议采取以下几项措施以减少潜在攻击的威胁。

1. 每天重新启动设备打断潜在的感染，使用苹果的锁定模式并禁用 iMessage 和 FaceTime 功能。
2. 及时更新iOS安装最新的版本补丁，谨慎点击链接，并定期检查备份和系统诊断存档。

转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389882.html