新工具可识别佩加索斯和其他iOS间谍软件

卡巴斯基全球研究与分析团队（GReAT）发布了一种新的轻量级方法，用于检测复杂的iOS间谍软件，包括著名的威胁如佩加索斯、Reign和Predator。

在今天发布的一份咨询中，研究人员表示，他们专注于分析先前被忽视的法庭取证工具Shutdown.log，该工具存储在iOS设备的sysdiagnose存档中，保留了每个重新启动会话的信息。

在重新启动期间，与佩加索斯相关的异常现象变得明显。特别是与佩加索斯相关的“粘滞”进程阻碍重新启动的实例被识别出来。然后，这些发现得到了来自更广泛的网络安全社区的观察的证实。

在Shutdown.log中对佩加索斯感染的进一步分析显示了一个常见的感染路径，“/private/var/db/”，类似于Reign和Predator引起的感染中看到的路径。卡巴斯基的研究人员建议，这个日志文件具有识别与这些恶意软件家族相关的感染的潜力。

卡巴斯基的GReAT主管安全研究员Maher Yamout解释说：“在通过其他iOS工件的Mobile Verification Toolkit（MVT）处理确认感染后，该日志现在成为调查iOS恶意软件感染的整体方法的一部分。”

“由于我们证实了这种行为与我们分析的其他佩加索斯感染的一致性，我们相信它将成为支持感染分析的可靠法庭证据。”

为了赋予用户在对抗iOS间谍软件方面更多权力，卡巴斯基的专家还开发了一个在GitHub上共享的自检实用程序。这个Python3脚本简化了对Shutdown.log工具的提取、分析和解析，适用于macOS、Windows和Linux用户。

总体而言，鉴于iOS间谍软件日益复杂，卡巴斯基推荐采取几项措施来防范潜在的攻击。

这些包括每天重新启动以打断潜在的感染、利用苹果的锁定模式以及禁用iMessage和FaceTime。此外，及时更新iOS以安装最新的补丁、对链接保持谨慎，并定期检查备份和系统诊断存档。