Infosecurity網(wǎng)站消息，近日，卡巴斯基全球研究與分析團隊（GReAT）發(fā)布了一種新的輕量級方法，用于檢測復雜的iOS間諜軟件，包括臭名昭著的Pegasus、Reign和Predator等軟件。

研究人員重點分析了之前被忽視的取證工件"Shutdown.log"，發(fā)現(xiàn)該工件存儲在iOS設(shè)備的sysdiagnose歸檔中，并記錄了每個重啟會話的信息。

他們還發(fā)現(xiàn)，在系統(tǒng)重新啟動的過程中，可以明顯觀察到與Pegasus相關(guān)的異?，F(xiàn)象，一些與Pegasus相關(guān)的"粘滯"進程阻礙了系統(tǒng)重新啟動，這些發(fā)現(xiàn)已經(jīng)得到了網(wǎng)絡(luò)安全社區(qū)的證實。

而對Shutdown.log中Pegasus感染的進一步分析揭示了一個常見的感染路徑，即"/private/var/db/"，它與Reign和Predator引起的感染中所見的路徑相似。研究人員指出，該日志可用于識別與這些惡意軟件組織相關(guān)的感染。

卡巴斯基GReAT首席安全研究員Maher Yamout解釋道：“我們通過該日志中的感染指示器，并使用移動驗證工具包（MVT）對其他iOS證據(jù)進行處理，確認了感染情況。因此，該日志將成為綜合調(diào)查iOS惡意軟件感染的重要組成部分?！?/p>

Maher Yamout進一步表示：“鑒于這種行為與我們分析的其他Pegasus感染一致，我們相信該日志可以作為可靠的取證工件，支持感染分析?！?/p>

為了增強用戶在對抗iOS間諜軟件方面的能力，卡巴斯基專家還開發(fā)了一個自檢實用工具，并在GitHub上分享了該工具。這個Python3腳本適用于macOS、Windows和Linux用戶，方便用戶提取、分析和解析Shutdown.log工件。

綜上所述，考慮到iOS間諜軟件日益復雜化的情況，卡巴斯基建議采取以下幾項措施以減少潛在攻擊的威脅。

每天重新啟動設(shè)備打斷潛在的感染，使用蘋果的鎖定模式并禁用iMessage和FaceTime功能。

及時更新iOS安裝最新的版本補丁，謹慎點擊鏈接，并定期檢查備份和系統(tǒng)診斷存檔。