据《华盛顿邮报》报道,许多人认为他们的iPhone绝对安全,但最新研究显示,多年来,苹果移动 *** 作系统iOS中一直存在三个此前未知的“零日漏洞”。事实上,苹果用户总是处于危险之中。多伦多大学蒙克全球事务学院(MonkSchoolofGlobalAffairs)下属的公民实验室(CitizenLab)和美国加州旧金山的移动安全公司Lookout发布的最新报告显示,有一种间谍软件可以利用iOS系统中存在多年的三个“零日漏洞”,通过诱使iPhone用户点击短信中的链接来帮助他们接管智能手机。
Lookout负责安全研究的副总裁迈克·默里(MikeMurray)表示,“这是我们见过的专门针对手机的最复杂的间谍软件。”研究人员发现,这种间谍软件与以色列公司NSO集团有关,该公司于2014年被美国私募股权公司FranciscoPartners收购。它开发的间谍软件经常被用来针对记者和活动家。
苹果公司周四发布了一个补丁,并发表声明称,“我们建议所有用户下载最新版本的iOS系统,以便保护自己免受潜在的安全漏洞。”然而,这种间谍软件凸显了一个事实,即即使是拥有强大安全声誉的技术公司,也仍然难以与黑客工具猖獗的强大市场竞争,因为这些工具赋予了政府强大的数字监控能力。
“三叉戟”漏洞相关信息:
-CVE-2016-4655:该漏洞将可能导致应用程序泄露系统内核内存中的数据;
-CVE-2016-4656:该漏洞将可能导致应用程序以内核权限执行任意代码;
-CVE-2016-4657:攻击者访问精心设计的恶意网站后,可能利用该漏洞实现任意代码执行;
苹果iOS系统的间谍软件最早是在阿联酋民主活动家艾哈迈德·曼苏尔的iPhone6上发现的。他收到两条承诺揭露阿联酋监狱虐囚“秘密”的短信。曼苏尔立即起了疑心,称自己经常成为政府使用恶意软件的目标。每次他们得到新的间谍软件,他们就在他身上试验。
为此,曼苏尔没有点击信息中的链接,而是立即转发给了公民实验室的研究人员。在移动安全公司Lookout的安全专家的努力下,他们证实了曼苏尔的担忧,即如果他点击链接,攻击者确实可以接管他的手机。
公民实验室认为,阿联酋政府可能是曼苏尔手机遭袭的幕后黑手,但无法提供证据。阿联酋尚未对此做出回应。然而,NSO集团曾在宣传册中介绍过针对曼苏尔的间谍软件。它被称为Pegasus,允许黑客远程跟踪目标设备,并从中获取完整的数据。
此外,公民实验室发现,负责报道腐败丑闻的墨西哥记者也成为间谍软件的目标,他还收到了一条带有特定链接的短信,似乎与墨西哥一家著名新闻媒体有关。公民实验室(CitizenLab)尚未能确定本案的具体袭击者,但他们认为,证据表明墨西哥政府是此次袭击的幕后支持者。墨西哥政府也发表了评论。
在公民实验室和Lookout发出警告后,苹果立即着手修复该漏洞。曼苏尔在8月10日和11日遭到攻击,苹果公司可以在接到通知后10天内给出解决方案。但是来自间谍软件的细节显示它已经被使用了很多年。普通用户面临的危险非常有限,因为NSO集团称其间谍软件只卖给政府机构。
NSO集团的发言人在一份声明中表示,他们不知道曼苏尔或墨西哥记者,他们也没有运行任何恶意软件系统。该公司与客户签订了协议,要求他们的产品只能以合法的方式使用。具体来说,这些产品只能用于预防和调查犯罪。
然而,过去的研究表明,一些政府机构使用这种间谍软件来监控对手和记者。正如最近曝光的NSA文件所显示的,依靠漏洞而没有安全补丁的恶意软件,如果漏洞被曝光,可能会危及公共安全。政府和像NSO集团这样开发黑客工具而不是向开发者报告漏洞的公司也可能威胁到所有用户的安全,因为他们无法确定其他人是否会发现同样的问题。
苹果一向以安全著称,甚至为了杰米圣贝纳迪诺q手的iPhone和FBI对簿公堂。但FBI最终在没有苹果帮助的情况下解密了这部手机。据说他们花了一百多万美元请专业黑客帮忙。苹果一直是安全消费品领域的领导者,部分原因是该公司牢牢控制着iPhone平台。但也吸引了更多黑客入侵苹果产品。
2016-8-2603:11查理·米勒对此事件的意味深长的评论
2016-8-2610:00相关新闻(包括一些技术细节)
https://citizenlab.org/2016/08/百万美元-持不同政见者-iphone-零日-nso-group-uae/
2016-8-2610:05Lookout对该漏洞的分析报告:飞马间谍软件的技术分析
https://info.lookout.com/RS/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
报告的国内镜像:https://yunpan.cn/cMqZiiTzHNMWZ(提取代码:cf59)
2016-8-2612:10更新iOS的“Trident”漏洞和Pyaload分析(初稿)
在本节中,我们将介绍这种攻击的技术细节,包括TridentiOS漏洞和相关恶意负载的利用。由于此事件紧急,我们为您提供初步分析结果,稍后我们将为您带来详细的分析报告。
曼苏尔的手机是iPhone6,运行系统是iOS9.3.3。但是我们没有可以测试的iPhone6手机,所以用了iPhone5手机代替。况且曼苏尔收到恶意短信的时候,最新的iOS版本是9.3.4。
我们在测试手机上用Safari浏览器访问了这个恶意链接。大约十秒钟后,浏览器显示了空白页,然后Safari的窗口自动关闭。从那时起,测试iPhone的屏幕上就没有显示任何移动的图片。同时,我们发现这个恶意链接也利用了Safari浏览器中的漏洞。从下面的网络请求数据中可以看出两个恶意的有效载荷:Final111和test111.tar。其中,final111只是一个中间文件,test111.tar才是最终的有效载荷。这两个有效载荷一起构成了Trident漏洞的触发器。
从上面的截图可以看出,我们点击恶意链接后,我们的手机会将请求数据发送到sms.webadv.co。第一个请求是我们点击链接后浏览器自动发送的请求信息。中间文件final111将向恶意服务器请求ntf_bed.html、ntf_brc.html和test111.tar。需要注意的是,所有这些请求都是通过Safari浏览器进行的。
1.1Trident漏洞分析
当用户用iPhone点击这个恶意链接时,浏览器会先下载一个JavaScript脚本(代码已经混乱)。这个JavaScript脚本将通过XMLHttpRequest下载中间文件final111。在攻击的第一阶段,恶意程序利用了WebKit中一个此前未被发现的内存崩溃漏洞(CVE-2016-4657),并通过Safari浏览器执行恶意代码。
在攻击的第二阶段,首先使用系统的一个函数来获取内核内存地址(CVE-2016-4655),攻击者可以使用这个基址来映射内核数据。然后,攻击者可以利用内核中的内存崩溃漏洞(CVE-2016-4656)进行攻击。上述三个漏洞中,最后一个可以禁用设备的代码签名认证功能,这样攻击者就可以在设备上执行任意代码。第二阶段攻击完成后,第三阶段是安装间谍软件的有效载荷。
1.2恶意负载
持久性
实现有效载荷的持续感染,间谍软件会禁用苹果手机的自动更新功能,然后检测删除其他越狱软件。
1.2.2信息记录
攻击有效载荷包含Cydia(第三方应用开发框架)的重命名副本,有效载荷可以用它来记录目标app中的所有 *** 作,比如短信数据、通话记录等。
要成功记录WhatsApp的聊天信息和Viber的通话记录,间谍软件可以利用Cydia感染WhatsApp和Viber,然后利用hook功能监控这些App的运行状态。当调用这些应用中的函数时,钩子函数会通知间谍软件。间谍软件监测到这些通知消息后,会开始记录相应程序的数据和 *** 作行为。我们初步分析显示,除了Viber和WhatsApp,受影响的应用可能还包括:微信、iMessage、Gmail、脸书、Telegram、Skype、Line、KakaoTalk、Surespot、Imo.im、mail。茹,探戈,VK和奥德诺斯尼基。
除此之外,间谍软件不仅可以提取目标手机的日历信息和联系人数据,还可以获取iphone中存储的密码,包括Wi-FI密码和其他网络服务的密码。
数据提取
在攻击的第二阶段,攻击有效载荷的信标将通过HTTPS协议发送到攻击者的指挥控制(C2)服务器。恶意链接请求代码包含以下字符串:
ww91CIBHB29nbgugdmvyawzpy2f0aw9uignvzgugaxm6nty3odqyoqpodhrwoi8vz21hawwwuy29tlz96puzfy0nbqt09jmk9tvrwaflxeghzvzr1zehznk5euxpmreu2yldgdwizsmhimjvzyvc1bextnwxkrg8wtkrnpszxpwdnpqu1ltnjc0pq==
用Base64解码后,我们得到以下明文信息:
你的谷歌验证码是:5678429
http://gmail.com/?z=FEcCAA==&;I=mtphywxhyw4udhy6ndqzlde6bwfub3jhb25saw5lm5lddo0ndm=&;s=zpvzPSYS674=
从上面的明文信息可以看出,非常类似于Google的双因素验证码,但是合法的Google信息不包含超链接,验证码的位数也没有那么多。我们使用Base64对URL中参数“I”的值进行解码,得到如下数据:
1:aalaan.tv:443,1:manoraonline.net:443
这些是攻击者用来托管间谍软件的C2服务器:aalaan.tv和manoraonline.net。
除此之外,攻击者在将受感染手机的短信数据发送回控制服务器时,似乎也使用了类似的混淆。为了防止托管间谍软件的C2服务器无法访问,攻击者可以使用这种类型的短信更新C2服务器的地址,这与FinFisher的“紧急配置更新”功能非常相似。
2016年8月26日12点22分,苹果补丁验证服务器宕机。已经下载补丁,目前无法验证安装的同学,请稍后再试。。。
雷锋的历史2016-8-2613:41
国内顶级iOS越狱团队盘古的核心成员DM557(陈小波)为我们还原了这次“远程越狱”的全过程:
1.攻击者首先通过短信发送目标任务的链接。当目标任务点击链接时,它将访问攻击者的一个网站。
2.一个针对手机Safari的攻击程序会被放在攻击者的网站上。该程序包含移动Safari的JavaScript引擎的0day漏洞。
3.攻击程序执行后,攻击者会通过浏览器获得手机的执行权限。此时,攻击者的权限只局限在沙箱中。
4.接下来,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。
5.在获得内核执行权限后,攻击者已经完成了对手机的越狱。这个时候他会关闭一些iOS的安全保护机制,比如开启rootfs的读写,关闭代码签名等等。
6.攻击完成后,入侵者成为手机的“主人”,可以全面监控手机的通信和流量。
AD:需要iOSAPT预防的同学请自助。
针对盘古iOS设备的APT检测产品(http://pwnzen.com/apt.html)首先利用越狱漏洞突破苹果封闭系统,获取系统最高权限,然后对整个系统的文件、配置、运行状态进行深度扫描。扫描功能包括设备配置检测、程序签名证书检测、系统应用程序检测、进程信息检测、越狱状态检测、越狱插件检测、设备风险检测、系统文件差异化检测和网络端口检测。
解决方案:
设置-更新-升级最新的iOS9.3.5漏洞补丁(PS:这个补丁只修复了两个需要点击触发的漏洞,不需要点击链接触发的还没有发布,所以暂时没有补丁。请保持注意力)
特别鸣谢:盘古核心成员@DM557、涅槃团队负责人@高雪峰、雷锋资深编辑@石忠、安全嘉宾编辑@Mickeyyyyyy
扫描二维码下载“平安客”APP,关注最新消息
微信用户可长按图片识别二维码。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)