被黑出来的经验,此前反病毒使用开发商卡巴斯基的若干职员遭到攻击,他们的 iPhone 被经由某种方式植入了间谍程序,卡巴斯基经由内部联网的流量监控察觉异常,之后这起攻击被称为三角测量。刚刚杨紫盘点
当下卡巴斯基依然在持续追踪三角测量攻击,年初本周国庆档,深夜读到泪目经过探究后卡巴斯基探究人员察觉一种可以高效测试 iPhone 是否被植入间谍使用的方法。
以往要想测试是否被植入恶意使用,需要将全部 iPhone 备份,然后经由备份资料来排查是否存在异常,如今卡巴斯基察觉一种轻量级的测试方法:iShutdown。
shutdown.log 是日志文件,卡巴斯基探究以色列间谍使用开发商 NSO 集团的回顾首映礼专题飞马间谍使用 (Pegasus)、以色列间谍使用开发商 QuaDream 的 Reign 间谍使用以及以色列间谍使用开发商 Intellexa 的 Predator 间谍使用察觉了一些共同点。
它们的共同点都是会在设备重启日志中留下某些痕迹,简易来说,由于所有间谍使用都期盼能够持久化,院线排片速递所以也要经由某种方式长时间驻留后台。
所以在 iPhone 重启时这些间谍使用有关的进程会阻碍操控系统的重启过程,进而导致重启时间稍微延长,而操控系统也会在日志里留下有关条目用来记录这些事情。
调研察觉以色列这三家商业间谍使用开发商均使用相似的文件操控系统路径:/private/var/db/ 和 /private/var/tmp/
卡巴斯基称使用者频繁重启 iPhone 的状况下更轻松在日志中观察到有关条目,所以后续只需要提取 shutdown.log 即可用来确认 iPhone 是否感染了间谍使用。
需提醒的是 shutdown.log 并不是操控系统自己生成的,iOS 操控系统首要经由 sysdiag 来记录日志,所以实际使用时需要生成并导出 shutdown.log,导出的文件大约在 200~400MB 之间,格式为.tar.gz,解压后需要的日志在 \system_logs.logarchive\Extra\ 中。
为此卡巴斯基使用 Python 编写了一个脚本,该脚本可以自动搜寻导出的日志中存在的异常条目,假如察觉异常条目那就需要探究人员认真检查对应的日志信息,从而确认是否被感染间谍使用。
最后,针对卡巴斯基的三角测量攻击具体发起者是谁暂时还不清楚,三角测量攻击使用的间谍使用为新使用,并不是以色列那几家商业间谍使用开发商制作的。
附加链接:https://github.com/KasperskyLab/iShutdown