卡巴斯基实验室专家分享了他们分析 iOS 设备的经验,该设备感染了以色列公司 NSO Group 的 Pegasus 恶意软件。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus,还可以帮助检测其他恶意软件,例如 QuaDream 的 Reign 和 Cytrox 的 Predator ,它们在文件系统中使用类似的路径。
Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动,也会在日志文件中注明。卡巴斯基实验室专家注意到,恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动,这些路径可以在 Shutdown.log 中看到。
摘自 Shutdown.log 文件
为了获取日志文件,您需要生成一个 sysdiag 存档,其中包含各种系统日志和数据库。这可以在 iOS 设置中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB,可以传输到分析计算机。解压存档后,Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。
卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用这些脚本,您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。
检测 Pegasus 恶意软件实例
专家强调,分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法,这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件,并希望从其条目中创建更多启发式方法。
卡巴斯基实验室鼓励那些拥有有趣样本、可协助研究的用户通过 [email protected] 联系该公司。研究人员声称 Shutdown.log 文件不包含任何个人信息,因此可以安全地提交进行分析。
请注意,GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件,该团队为 Android 创建了同名操作系统,重点关注隐私和安全。专家建议在 Android 中引入自动重启功能,这将使固件漏洞的利用变得更加复杂。
转自安全客,原文链接:https://www.anquanke.com/post/id/292709
封面来源于网络,如有侵权请联系删除