卡巴斯基实验室:每天重新启动 iPhone 将有助于检测恶意软件

阅读量66767

发布时间 : 2024-01-18 10:23:56

专家描述了在iOS中使用日志搜索病毒的过程。

卡巴斯基实验室专家 讲述了他们分析感染以色列公司NSO Group的Pegasus恶意软件的 iOS 设备的经验。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus,还可以帮助检测其他恶意软件,例如 QuaDream 的 Reign和Cytrox的Predator ,它们在文件系统中使用类似的路径。

Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动,也会在日志文件中注明。卡巴斯基实验室专家注意到,恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动,这些路径可以在Shutdown.log中看到。

摘自 Shutdown.log 文件

为了获取日志文件,您需要生成一个sysdiag存档,其中包含各种系统日志和数据库。这可以在iOS设置 中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB,可以传输到分析计算机。解压存档后,Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。

卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用脚本,您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。

检测 Pegasus 恶意软件实例

专家强调,分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法,这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件,并希望从其条目中创建更多启发式方法。

卡巴斯基实验室鼓励拥有有助于研究的有趣样本的用户通过 intelreports@kaspersky.com联系该公司 。研究人员声称Shutdown.log文件不包含任何个人信息,因此可以安全地提交进行分析。

请注意,GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件,该团队为 Android 创建了同名操作系统,重点关注隐私和安全。专家 建议在Android中引入 自动重启功能 ,这将使固件漏洞的利用变得更加复杂。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66