Kasperskyのグローバル調査・分析チーム(GReAT)は、Pegasus、Reign、Predatorといった悪名高い脅威を含む高度なiOSスパイウェアを検知するための、新しい軽量な手法を公開しました。
本日公開されたアドバイザリの中で研究者らは、これまで見過ごされてきたフォレンジック・アーティファクトであるShutdown.logの分析に注力したと述べました。Shutdown.logはiOSデバイスのsysdiagnoseアーカイブ内に保存され、各再起動セッションの情報を保持しています。
再起動中に、Pegasusに関連する異常が明らかになりました。再起動を妨げる「粘着性」のあるプロセスの存在が確認され、特にPegasusに紐づくものが特定されました。これらは、その後、より広範なサイバーセキュリティ・コミュニティからの観測によって裏付けられました。
Shutdown.logにおけるPegasus感染のさらなる分析により、共通の感染経路「/private/var/db/」が明らかになりました。これはReignやPredatorによる感染で見られるパスに類似しています。Kasperskyの研究者らは、このログファイルがこれらのマルウェア・ファミリーに関連する感染を特定する可能性を秘めていると示唆しました。
「このログで感染指標を受け取り、他のiOSアーティファクトをMobile Verification Toolkit(MVT)で処理して感染を確認したことで、このログはiOSマルウェア感染を調査するための包括的なアプローチの一部となりました」と、KasperskyのGReATの主任セキュリティ研究者であるMaher Yamout氏は説明しました。
「私たちが分析した他のPegasus感染とこの挙動の一貫性を確認できたため、感染分析を支える信頼できるフォレンジック・アーティファクトとして役立つと考えています。」
類似マルウェアについて詳しく読む:大統領選を前にマダガスカル政府と関連付けられたPredatorスパイウェア
iOSスパイウェアとの戦いでユーザーを支援するため、Kasperskyの専門家はGitHubで共有されているセルフチェック用ユーティリティも開発しました。このPython3スクリプトは、Shutdown.logアーティファクトの抽出、分析、解析を容易にし、macOS、Windows、Linuxユーザーに対応しています。
より一般的には、iOSスパイウェアの高度化が進む状況を踏まえ、Kasperskyは潜在的な攻撃から身を守るためのいくつかの対策を推奨しました。
これには、潜在的な感染を妨げるために毎日再起動すること、Appleのロックダウンモードを利用すること、iMessageとFaceTimeを無効化することが含まれます。また、最新のパッチを適用するためにiOSを速やかに更新し、リンクの取り扱いに注意し、バックアップとsysdiagnoseアーカイブを定期的に確認することも挙げられます。
翻訳元: https://www.infosecurity-magazine.com/news/tool-identifies-pegasus-ios-spyware/
