骨軟筋酥網(wǎng)卡巴斯基發(fā)布開源腳本iShutdown 可以用來快速檢測iOS是否感染間諜軟件 – 藍(lán)點網(wǎng)
被黑出來的卡巴開源經(jīng)驗,此前反病毒軟件開發(fā)商卡巴斯基的斯基速檢部分員工遭到攻擊,他們的發(fā)布否感常州外圍(外圍女)外圍經(jīng)紀(jì)人(電話微信199-7144-9724)真實上門外圍上門外圍女快速安排30分鐘到達(dá) iPhone 被通過某種方式植入了間諜程序,卡巴斯基通過內(nèi)部網(wǎng)絡(luò)的腳本件藍(lán)流量監(jiān)控發(fā)現(xiàn)異常,之后這起攻擊被稱為三角測量。用快
目前卡巴斯基仍然在繼續(xù)追蹤三角測量攻擊,染間經(jīng)過研究后卡巴斯基研究人員發(fā)現(xiàn)一種可以快速檢測 iPhone 是諜軟點網(wǎng)否被植入間諜軟件的方法。
以往要想檢測是卡巴開源否被植入惡意軟件,需要將整個 iPhone 備份,斯基速檢常州外圍(外圍女)外圍經(jīng)紀(jì)人(電話微信199-7144-9724)真實上門外圍上門外圍女快速安排30分鐘到達(dá)然后通過備份數(shù)據(jù)來排查是發(fā)布否感否存在異常,現(xiàn)在卡巴斯基發(fā)現(xiàn)一種輕量級的腳本件藍(lán)檢測方法:iShutdown。
shutdown.log 是日志文件,卡巴斯基研究以色列間諜軟件開發(fā)商 NSO 集團(tuán)的染間飛馬間諜軟件 (Pegasus)、以色列間諜軟件開發(fā)商 QuaDream 的諜軟點網(wǎng) Reign 間諜軟件以及以色列間諜軟件開發(fā)商 Intellexa 的 Predator 間諜軟件發(fā)現(xiàn)了一些共同點。
它們的卡巴開源共同點都是會在設(shè)備重啟日志中留下某些痕跡,簡單來說,由于所有間諜軟件都希望能夠持久化,所以也要通過某種方式長時間駐留后臺。
所以在 iPhone 重啟時這些間諜軟件相關(guān)的進(jìn)程會阻礙系統(tǒng)的重啟過程,進(jìn)而導(dǎo)致重啟時間稍微延長,而系統(tǒng)也會在日志里留下相關(guān)條目用來記錄這些事件。
調(diào)查發(fā)現(xiàn)以色列這三家商業(yè)間諜軟件開發(fā)商均使用類似的文件系統(tǒng)路徑:/private/var/db/ 和 /private/var/tmp/
卡巴斯基稱用戶頻繁重啟 iPhone 的情況下更容易在日志中觀察到相關(guān)條目,因此后續(xù)只需要提取 shutdown.log 即可用來分析 iPhone 是否感染了間諜軟件。
需提醒的是 shutdown.log 并不是系統(tǒng)自己生成的,iOS 系統(tǒng)主要通過 sysdiag 來記錄日志,因此實際使用時需要生成并導(dǎo)出 shutdown.log,導(dǎo)出的文件大約在 200~400MB 之間,格式為.tar.gz,解壓后需要的日志在 \system_logs.logarchive\Extra\ 中。
為此卡巴斯基使用 Python 編寫了一個腳本,該腳本可以自動搜尋導(dǎo)出的日志中存在的異常條目,如果發(fā)現(xiàn)異常條目那就需要研究人員仔細(xì)檢查對應(yīng)的日志內(nèi)容,從而分析是否被感染間諜軟件。
最后,針對卡巴斯基的三角測量攻擊具體發(fā)起者是誰暫時還不清楚,三角測量攻擊使用的間諜軟件為新軟件,并不是以色列那幾家商業(yè)間諜軟件開發(fā)商制作的。
附加鏈接:https://github.com/KasperskyLab/iShutdown
