Infosecurity網(wǎng)站消息，近日，卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）發(fā)布了一種新的輕量級(jí)方法，用于檢測(cè)復(fù)雜的iOS間諜軟件，包括臭名昭著的Pegasus、Reign和Predator等軟件。

研究人員重點(diǎn)分析了之前被忽視的取證工件"Shutdown.log"，發(fā)現(xiàn)該工件存儲(chǔ)在iOS設(shè)備的sysdiagnose歸檔中，并記錄了每個(gè)重啟會(huì)話的信息。

他們還發(fā)現(xiàn)，在系統(tǒng)重新啟動(dòng)的過程中，可以明顯觀察到與Pegasus相關(guān)的異常現(xiàn)象，一些與Pegasus相關(guān)的"粘滯"進(jìn)程阻礙了系統(tǒng)重新啟動(dòng)，這些發(fā)現(xiàn)已經(jīng)得到了網(wǎng)絡(luò)安全社區(qū)的證實(shí)。

而對(duì)Shutdown.log中Pegasus感染的進(jìn)一步分析揭示了一個(gè)常見的感染路徑，即"/private/var/db/"，它與Reign和Predator引起的感染中所見的路徑相似。研究人員指出，該日志可用于識(shí)別與這些惡意軟件組織相關(guān)的感染。

卡巴斯基GReAT首席安全研究員Maher Yamout解釋道：“我們通過該日志中的感染指示器，并使用移動(dòng)驗(yàn)證工具包（MVT）對(duì)其他iOS證據(jù)進(jìn)行處理，確認(rèn)了感染情況。因此，該日志將成為綜合調(diào)查iOS惡意軟件感染的重要組成部分。”

Maher Yamout進(jìn)一步表示：“鑒于這種行為與我們分析的其他Pegasus感染一致，我們相信該日志可以作為可靠的取證工件，支持感染分析。”

為了增強(qiáng)用戶在對(duì)抗iOS間諜軟件方面的能力，卡巴斯基專家還開發(fā)了一個(gè)自檢實(shí)用工具，并在GitHub上分享了該工具。這個(gè)Python3腳本適用于macOS、Windows和Linux用戶，方便用戶提取、分析和解析Shutdown.log工件。

綜上所述，考慮到iOS間諜軟件日益復(fù)雜化的情況，卡巴斯基建議采取以下幾項(xiàng)措施以減少潛在攻擊的威脅。

每天重新啟動(dòng)設(shè)備打斷潛在的感染，使用蘋果的鎖定模式并禁用iMessage和FaceTime功能。

及時(shí)更新iOS安裝最新的版本補(bǔ)丁，謹(jǐn)慎點(diǎn)擊鏈接，并定期檢查備份和系統(tǒng)診斷存檔。