卡巴斯基的iShutdown工具可檢測iOS設備上的Pegasus間諜軟件

卡巴斯基最近推出了一款名為iShutdown的工具，該工具不僅可以檢測臭名昭著的Pegasus間諜軟件，還可以識別iOS設備上的其他惡意軟件威脅。在卡巴斯基網絡安全研究人員透露了三角測量操作的重要見解幾周后，iShutdown工具就推出了。這項調查深入探討了間諜軟件威脅如何危害iPhone。

卡巴斯基全球研究與分析團隊(GReAT)推出了一款新工具，可讓用戶檢測Pegasus，這是一種流行的iOS間諜軟件，以記者和活動人士為目標。這種名為iShutdown的輕量級方法將識別Apple iOS設備上的間諜軟件跡象，包括三個著名的間諜軟件系列Pegasus、QuaDream的Reign和Intellexa的Predator。

在卡巴斯基實驗室最初報告其員工的iPhone遭到黑客攻擊（稱為“三角測量行動”）七個月后，iShutdown工具現已向公眾開放。2023年12月，該公司發布了更新，披露黑客在針對iPhone用戶的間諜軟件攻擊中可能利用了一個不起眼的硬件功能。

該方法在一組受到Pegasus攻擊的iPhone上進行了測試。 但必須注意的是，此方法/工具與允許Mac設備關閉/睡眠/重新啟動/注銷的iShutdown iOS應用程序不同 。

據該網絡安全公司稱，在受間諜軟件攻擊的iPhone上名為“Shutdown.log”的基于文本的系統日志文件中發現了Pegasus相關進程的痕跡。

日志文件存儲在iOS設備的sysdiagnose存檔中。它記錄了每次重啟事件及其環境特征，是一種普遍被忽視的法醫文物。它可以包含幾年前的條目，提供有價值的信息。當用戶啟動重新啟動時，操作系統會終止正在運行的進程，刷新內存緩沖區，并等待正常重新啟動。

其分析揭示了阻礙重新啟動的“粘性”進程。在超過四個重啟延遲通知中發現了與 Pegasus 相關的進程。重新啟動過程中的這些異常使該工具能夠高精度地標記潛在的感染。進一步的分析顯示，所有三個間諜軟件系列都使用類似的文件系統路徑，即Pegasus和Reign的“/private/var/db/”，以及Predator的“/private/var/tmp/”，作為妥協的指標。

卡巴斯基GReAT的首席安全研究員Maher Yamout已確認該日志與其他Pegasus感染的一致性，使其成為感染分析的可靠法醫制品。該工具為更廣泛的用戶群提供增強的保護。

“與取證設備成像或完整iOS備份等更耗時的獲取方法相比，Shutdown.log文件恢復非常簡單，” Yamout解釋道。

卡巴斯基在GitHub上為macOS、Windows和Linux用戶開發了一個Python3實用程序來檢測間諜軟件。該工具提取、分析和解析Shutdown.log工件。它簡化了檢測并提高了意識，使用戶能夠控制自己的數字安全。

然而，卡巴斯基建議用戶對數據和設備安全采取整體方法。該公司建議用戶每天重新啟動、使用鎖定模式、禁用iMessage和FaceTime、及時更新iOS并定期檢查備份。

在此之前，SentinelOne的報告顯示，針對macOS的信息竊取程序（如KeySteal、Atomic和JaskaGo）正在迅速適應，以規避Apple名為XProtect的內置防病毒技術。