卡巴斯基發布開源腳本iShutdown 可以用來快速檢測iOS是否感染間諜軟件 – 藍點網

被黑出來的經驗，此前反病毒軟件開發商卡巴斯基的部分員工遭到攻擊，他們的 iPhone 被通過某種方式植入了間諜程序，卡巴斯基通過內部網絡的流量監控發現異常，之後這起攻擊被稱為三角測量。

目前卡巴斯基仍然在繼續追蹤三角測量攻擊，經過研究後卡巴斯基研究人員發現一種可以快速檢測 iPhone 是否被植入間諜軟件的方法。

以往要想檢測是否被植入惡意軟件，需要將整個 iPhone 備份，然後通過備份數據來排查是否存在異常，現在卡巴斯基發現一種輕量級的檢測方法：iShutdown。

shutdown.log 是日誌文件，卡巴斯基研究以色列間諜軟件開發商 NSO 集團的飛馬間諜軟件 (Pegasus)、以色列間諜軟件開發商 QuaDream 的 Reign 間諜軟件以及以色列間諜軟件開發商 Intellexa 的 Predator 間諜軟件發現了一些共同點。

它們的共同點都是會在設備重啟日誌中留下某些痕跡，簡單來說，由於所有間諜軟件都希望能夠持久化，所以也要通過某種方式長時間駐留後台。

所以在 iPhone 重啟時這些間諜軟件相關的進程會阻礙係統的重啟過程，進而導致重啟時間稍微延長，而係統也會在日誌裏留下相關條目用來記錄這些事件。

調查發現以色列這三家商業間諜軟件開發商均使用類似的文件係統路徑：/private/var/db/ 和 /private/var/tmp/

卡巴斯基稱用戶頻繁重啟 iPhone 的情況下更容易在日誌中觀察到相關條目，因此後續隻需要提取 shutdown.log 即可用來分析 iPhone 是否感染了間諜軟件。

需提醒的是 shutdown.log 並不是係統自己生成的，iOS 係統主要通過 sysdiag 來記錄日誌，因此實際使用時需要生成並導出 shutdown.log，導出的文件大約在 200~400MB 之間，格式為.tar.gz，解壓後需要的日誌在 \system_logs.logarchive\Extra\ 中。

為此卡巴斯基使用 Python 編寫了一個腳本，該腳本可以自動搜尋導出的日誌中存在的異常條目，如果發現異常條目那就需要研究人員仔細檢查對應的日誌內容，從而分析是否被感染間諜軟件。

最後，針對卡巴斯基的三角測量攻擊具體發起者是誰暫時還不清楚，三角測量攻擊使用的間諜軟件為新軟件，並不是以色列那幾家商業間諜軟件開發商製作的。

附加鏈接：https://github.com/KasperskyLab/iShutdown

(责任编辑：內蒙古自治區)