Kaspersky Labは1月16日(現地時間)、「Detecting iOS malware via Shutdown.log file|Securelist」において、iOSに感染したマルウェアを特定するための分析ツールを公開した。iOSはセキュアな作りになっているため、分析には暗号化されたフルバックアップイメージか、ネットワークトラフィックを観察する必要があった。したがって、専門知識、費用、時間が求められ、一般ユーザーによる分析は難しいとされてきた。今回、Kaspersky LabはiOSのシステムログ「Shutdown.log」に感染の痕跡が残ることを特定し、これを分析するツールを開発して公開した。

  • Detecting iOS malware via Shutdown.log file|Securelist

    Detecting iOS malware via Shutdown.log file|Securelist

iOSのシステムログ「Shutdown.log」を分析

Kaspersky Labが開発した分析ツールは3点で、「GitHub - KasperskyLab/iShutdown」から配布されている。分析の対象となるShutdown.logはiOSの再起動時に作成されるイベントログで、「Sysdiagnose」のアーカイブとして取得することができる。Sysdiagnoseの取得方法は、「Profiles and Logs - Bug Reporting - Apple Developer」の「Sysdiagnose for iOS」にて公開されている。取得したSysdiagnoseは、設定の「プライバシーとセキュリティ」→「解析と改善」→「解析データ」に保存されるため、ここから取り出す(転送する)ことになる。

分析ツールの概要は次のとおり。

  • iShutdown_detect - Shutdown.log内の異常を検出する。マルウェアは再起動を遅らせることがあり、再起動の遅延が3回を超える場合は通常と異なる動作をしている可能性がある。他にも異常なプロセスの存在を検出できる
  • iShutdown_parse - SysdiagnoseアーカイブからShutdown.logを抽出し、解析の概要を生成する。生成されたデータは専門家との情報共有に活用することができる
  • iShutdown_stats - Shutdown.logから再起動の頻度やタイミングなどを分析し、統計データを出力する
  • 3回を超える再起動遅延により、マルウェア「Pegasus」の痕跡を検出 - 提供:Securelist

    3回を超える再起動遅延により、マルウェア「Pegasus」の痕跡を検出 引用:Securelist

マルウェア検出ツールに関する注意事項

Kaspersky Labによると、このツールを使用してマルウェア「Pegasus」の感染を検出できるという。しかしながら、このツールは分析の補助として使用することが想定されており、すべてのマルウェアを検出できるわけではないことに注意が必要。また、マルウェアを回避したり駆除する機能はない。

ツールを正常に機能させるには、ある程度の頻度でiOSを再起動してShutdown.logを更新する必要がある。再起動の頻度については状況次第として明言を避けているが、数時間ごと、毎日、重要なイベントの前後などが例として挙げられている。

Kaspersky Labは今後もSysdiagnose分析を継続し、多くの経験則を作成する予定としている。また、この研究に貢献できる興味深いサンプルに関して情報提供を求めており、貢献したい場合はメールで連絡してほしいと呼びかけている。