ISHUTDOWN LIGHTWEIGHT方法允许发现iPhone上的间谍软件感染

设备已被间谍软件感染。
卡巴斯基的网络安全研究人员发现了一种名为iShutdown的“轻量级方法”，用于识别苹果iOS设备上是否存在间谍软件。该方法可以发现像NSO Group的Pegasus、Intellexa的Predator、QuaDream的Reign等隐秘而强大的监控软件。

研究人员关注的是任何移动iOS设备中都存在的意外系统日志Shutdown.log。分析显示，感染在Shutdown.log中留下了痕迹，这是一个基于文本的日志文件。iOS设备在该文件中记录了任何重新启动事件以及多种环境信息。

专家注意到一些日志条目记录与阻止正常重启的进程有关。

卡巴斯基发表的分析报告称：“当用户启动重新启动时，操作系统会在重新启动之前尝试优雅地终止正在运行的进程。如果重新启动活动开始时“客户端”进程仍在运行，则会记录其进程标识符（PID）和相应的文件系统路径。日志条目指出，这些进程阻止了正常重新启动，系统正在等待它们终止。”

研究人员指出，与其他取证技术相比，检索Shutdown.log文件很容易，并且可以节省时间。日志文件存储在sysdiagnose（sysdiag）存档中。
专家在Shutdown.log文件中发现了记录“粘滞”进程（如与间谍软件相关的进程）延迟重新启动的实例的条目。
对感染的分析还揭示了其他相似之处，例如与恶意软件执行相关的路径（“/private/var/db/”）。

通过比较我们分析的Pegasus感染的Shutdown.log和上述Reign路径的工件，我们注意到此类感染的其他相似之处。报告继续说：“即使进程名称不同，但恶意软件在“/private/var/db/”中的执行似乎与我们见过的所有感染一致。另一个移动恶意软件家族Predator也是如此，其中经常使用类似的路径“/private/var/tmp/”。
卡巴斯基研究人员创建了一组Python3脚本，可以自动分析Shutdown.log文件。根据卡巴斯基的说法，用户需要生成一个sysdiag转储并将存档提取到分析机器上，这是前提条件

总之，我们分析并确认了使用存储在sysdiag档案中的Shutdown.log工件检测Pegasus恶意软件感染的可靠性。该方法的轻量级特性使其易于使用和访问。此外，该日志文件可以存储条目数年，使其成为分析和识别异常日志条目的宝贵取证工具。再次强调，这不是可以检测所有恶意软件的灵丹妙药，这种方法依赖于用户尽可能频繁地重新启动手机。

卡巴斯基总结道。“我们将继续更详细地分析不同平台上的Shutdown.log文件。我们希望能够从其中的条目中创建更多的启发式方法。”

原文始发于微信公众号（黑猫安全）：ISHUTDOWN LIGHTWEIGHT方法允许发现iPhone上的间谍软件感染