卡巴斯基实验室:每天重新启动 iPhone 将有助于检测恶意软件

卡巴斯基实验室专家分享了他们分析 iOS 设备的经验,该设备感染了以色列公司 NSO Group 的 Pegasus 恶意软件。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus,还可以帮助检测其他恶意软件,例如 QuaDream 的 Reign 和 Cytrox 的 Predator ,它们在文件系统中使用类似的路径。

Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动,也会在日志文件中注明。卡巴斯基实验室专家注意到,恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动,这些路径可以在 Shutdown.log 中看到。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科卡巴斯基实验室:每天重新启动 iPhone 将有助于检测恶意软件

摘自 Shutdown.log 文件

为了获取日志文件,您需要生成一个 sysdiag 存档,其中包含各种系统日志和数据库。这可以在 iOS 设置中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB,可以传输到分析计算机。解压存档后,Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。

卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用这些脚本,您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。

图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科卡巴斯基实验室:每天重新启动 iPhone 将有助于检测恶意软件

检测 Pegasus 恶意软件实例

专家强调,分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法,这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件,并希望从其条目中创建更多启发式方法。

卡巴斯基实验室鼓励那些拥有有趣样本、可协助研究的用户通过 intelreports@kaspersky.com 联系该公司。研究人员声称 Shutdown.log 文件不包含任何个人信息,因此可以安全地提交进行分析。

请注意,GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件,该团队为 Android 创建了同名操作系统,重点关注隐私和安全。专家建议在 Android 中引入自动重启功能,这将使固件漏洞的利用变得更加复杂。


转自安全客,原文链接:https://www.anquanke.com/post/id/292709

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞7 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容