卡巴斯基的iShutdown工具可检测iOS设备上的Pegasus间谍软件

卡巴斯基最近推出了一款名为iShutdown的工具，该工具不仅可以检测臭名昭著的Pegasus间谍软件，还可以识别iOS设备上的其他恶意软件威胁。在卡巴斯基网络安全研究人员透露了三角测量操作的重要见解几周后，iShutdown工具就推出了。这项调查深入探讨了间谍软件威胁如何危害iPhone。

卡巴斯基全球研究与分析团队(GReAT)推出了一款新工具，可让用户检测Pegasus，这是一种流行的iOS间谍软件，以记者和活动人士为目标。这种名为iShutdown的轻量级方法将识别Apple iOS设备上的间谍软件迹象，包括三个著名的间谍软件系列Pegasus、QuaDream的Reign和Intellexa的Predator。

在卡巴斯基实验室最初报告其员工的iPhone遭到黑客攻击（称为“三角测量行动”）七个月后，iShutdown工具现已向公众开放。2023年12月，该公司发布了更新，披露黑客在针对iPhone用户的间谍软件攻击中可能利用了一个不起眼的硬件功能。

该方法在一组受到Pegasus攻击的iPhone上进行了测试。 但必须注意的是，此方法/工具与允许Mac设备关闭/睡眠/重新启动/注销的iShutdown iOS应用程序不同 。

据该网络安全公司称，在受间谍软件攻击的iPhone上名为“Shutdown.log”的基于文本的系统日志文件中发现了Pegasus相关进程的痕迹。

日志文件存储在iOS设备的sysdiagnose存档中。它记录了每次重启事件及其环境特征，是一种普遍被忽视的法医文物。它可以包含几年前的条目，提供有价值的信息。当用户启动重新启动时，操作系统会终止正在运行的进程，刷新内存缓冲区，并等待正常重新启动。

其分析揭示了阻碍重新启动的“粘性”进程。在超过四个重启延迟通知中发现了与 Pegasus 相关的进程。重新启动过程中的这些异常使该工具能够高精度地标记潜在的感染。进一步的分析显示，所有三个间谍软件系列都使用类似的文件系统路径，即Pegasus和Reign的“/private/var/db/”，以及Predator的“/private/var/tmp/”，作为妥协的指标。

卡巴斯基GReAT的首席安全研究员Maher Yamout已确认该日志与其他Pegasus感染的一致性，使其成为感染分析的可靠法医制品。该工具为更广泛的用户群提供增强的保护。

“与取证设备成像或完整iOS备份等更耗时的获取方法相比，Shutdown.log文件恢复非常简单，” Yamout解释道。

卡巴斯基在GitHub上为macOS、Windows和Linux用户开发了一个Python3实用程序来检测间谍软件。该工具提取、分析和解析Shutdown.log工件。它简化了检测并提高了意识，使用户能够控制自己的数字安全。

然而，卡巴斯基建议用户对数据和设备安全采取整体方法。该公司建议用户每天重新启动、使用锁定模式、禁用iMessage和FaceTime、及时更新iOS并定期检查备份。

在此之前，SentinelOne的报告显示，针对macOS的信息窃取程序（如KeySteal、Atomic和JaskaGo）正在迅速适应，以规避Apple名为XProtect的内置防病毒技术。