被黑出來的卡巴開源經驗，此前反病毒軟件開發商卡巴斯基的斯基速檢部分員工遭到攻擊，他們的發布否感杭州臨平上課工作室（品茶喝茶）vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 iPhone 被通過某種方式植入了間諜程序，卡巴斯基通過內部網絡的腳本件藍流量監控發現異常，之后這起攻擊被稱為三角測量。用快

目前卡巴斯基仍然在繼續追蹤三角測量攻擊，染間經過研究后卡巴斯基研究人員發現一種可以快速檢測 iPhone 是諜軟點網否被植入間諜軟件的方法。

以往要想檢測是卡巴開源否被植入惡意軟件，需要將整個 iPhone 備份，斯基速檢杭州臨平上課工作室（品茶喝茶）vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達然后通過備份數據來排查是發布否感否存在異常，現在卡巴斯基發現一種輕量級的腳本件藍檢測方法：iShutdown。

shutdown.log 是日志文件，卡巴斯基研究以色列間諜軟件開發商 NSO 集團的染間飛馬間諜軟件 (Pegasus)、以色列間諜軟件開發商 QuaDream 的諜軟點網 Reign 間諜軟件以及以色列間諜軟件開發商 Intellexa 的 Predator 間諜軟件發現了一些共同點。

它們的卡巴開源共同點都是會在設備重啟日志中留下某些痕跡，簡單來說，由于所有間諜軟件都希望能夠持久化，所以也要通過某種方式長時間駐留后臺。

所以在 iPhone 重啟時這些間諜軟件相關的進程會阻礙系統的重啟過程，進而導致重啟時間稍微延長，而系統也會在日志里留下相關條目用來記錄這些事件。

調查發現以色列這三家商業間諜軟件開發商均使用類似的文件系統路徑：/private/var/db/ 和 /private/var/tmp/

卡巴斯基稱用戶頻繁重啟 iPhone 的情況下更容易在日志中觀察到相關條目，因此后續只需要提取 shutdown.log 即可用來分析 iPhone 是否感染了間諜軟件。

需提醒的是 shutdown.log 并不是系統自己生成的，iOS 系統主要通過 sysdiag 來記錄日志，因此實際使用時需要生成并導出 shutdown.log，導出的文件大約在 200~400MB 之間，格式為.tar.gz，解壓后需要的日志在 \system_logs.logarchive\Extra\ 中。

為此卡巴斯基使用 Python 編寫了一個腳本，該腳本可以自動搜尋導出的日志中存在的異常條目，如果發現異常條目那就需要研究人員仔細檢查對應的日志內容，從而分析是否被感染間諜軟件。

最后，針對卡巴斯基的三角測量攻擊具體發起者是誰暫時還不清楚，三角測量攻擊使用的間諜軟件為新軟件，并不是以色列那幾家商業間諜軟件開發商制作的。

附加鏈接：https://github.com/KasperskyLab/iShutdown

最新評論