iOS 9.3.5緊急發布背後真相:NSO使用iPhone 0day無需點擊遠程攻破蘋果手機（8月26日 12:10更新）

作者：安全客

iOS曝重大0day，黑客利用三個高價0day組合攻擊，可遠程控制手機，竊取隱私數據，這是世界上首次公開披露針對iOS的APT攻擊。

據華盛頓郵報報道，許多人都以為自己的iPhone是絕對安全的，但最新研究顯示，蘋果移動操作系統iOS中多年來始終存在三種此前未知的「零日漏洞」，實際上蘋果用戶始終處於危險之中。加拿大多倫多大學蒙克全球事務學院下屬的公民實驗室（Citizen Lab）與美國加州舊金山移動安全公司Lookout發布最新報告顯示，有一種間諜軟體能夠利用iOS系統中多年存在的三種「零日漏洞」，通過誘使iPhone用戶點擊文本信息中的鏈接，幫助接管該用戶的智能手機。

Lookout公司主管安全研究的副總裁邁克·默里(Mike Murray)說：「這是我們見過的專門針對手機的最複雜的間諜軟體。」研究人員發現，這款間諜軟體與以色列公司NSO Group有關，它已經於2014年被美國私人股本公司Francisco Partners收購，其開發的間諜軟體在很多時候都被用於針對記者和活動家。

　　蘋果已經於周四發布了補丁，並發表聲明稱：「我們推薦所有用戶下載最新版本的iOS系統，以便在潛在安全漏洞中保護好自己。」但是這款間諜軟體突出了這樣一個事實：即使擁有強大安全聲譽的科技公司，依然難與黑客工具泛濫的強大市場競爭，因為這些工具賦予了政府強大的數字監控能力。

「Trident」漏洞相關信息：

－CVE-2016-4655:該漏洞將有可能導致應用程序泄漏系統內核內存中的數據；

－CVE-2016-4656:該漏洞將有可能導致應用程序以內核許可權來執行任意代碼；

－CVE-2016-4657:訪問了精心設計的惡意網站之後，攻擊者或可利用該漏洞實現任意代碼執行；

　　針對蘋果iOS系統的間諜軟體首先在阿聯酋民主活動家艾哈邁德·曼蘇爾(Ahmed Mansoor)的iPhone 6上發現，他收到2條文本信息，承諾將透露阿聯酋監獄受虐囚犯的「秘密」。曼蘇爾立即產生懷疑，他稱自己經常成為政府使用惡意軟體針對的目標。每次他們得到新的間諜軟體，都會在他身上進行嘗試。

　　為此，曼蘇爾沒有點擊信息中的鏈接，而是立即將其轉發給公民實驗室（Citizen Lab）的研究人員。在與移動安全公司Lookout的安全專家努力下，他們證實了曼蘇爾的擔憂：如果他點擊了鏈接，襲擊者的確可以接管他的手機。

　　公民實驗室（Citizen Lab）認為，阿聯酋政府可能是針對曼蘇爾手機發動襲擊的幕後力量，但無法提供證據。阿聯酋還未就此作出回應。但是NSO Group曾在宣傳冊中介紹針對曼蘇爾的間諜軟體，它被稱為Pegasus，允許黑客遠程隱身追蹤目標設備，並從中獲取完整的數據。

　　此外，公民實驗室（Citizen Lab）發現，負責報道腐敗醜聞的墨西哥記者也成為間諜軟體的針對目標，他也收到含有特定鏈接的文本信息，這個鏈接似乎與墨西哥某個著名新聞媒體有關。公民實驗室（Citizen Lab）還無法確定此案的具體攻擊者，但他們認為證據標明，墨西哥政府是攻擊背後的支持者。墨西哥政府也為做出置評。

　　公民實驗室（Citizen Lab）和Lookout發出警告後，蘋果立即著手修復漏洞。曼蘇爾在8月10日和11日遭到攻擊，蘋果在接到通知後10天內即可給出解決方案。但是來自間諜軟體的細節顯示，它已經被利用了很多年。普通用戶面臨的危險十分有限，因為NSO Group稱其間諜軟體只賣給政府機構。

　　NSO Group發言人在聲明中稱，他們不清楚曼蘇爾或墨西哥記者的事情，本身也沒有運行任何惡意軟體系統。該公司已經與客戶簽署協議，要求他們的產品只能被以合法方式使用。具體來說，這些產品只能被用來預防和調查犯罪。

　　可是過去的研究顯示，有些政府機構利用這種間諜軟體監視反對者和記者。正如最近曝光的美國國安局文件顯示，那些依賴沒有安全補丁的漏洞運行的惡意軟體，如果漏洞曝光，可能危及公眾安全。政府和類似NSO Group等開發黑客工具而非向開發人員報告漏洞的公司，也可能威脅所有用戶的安全，因為他們無法確保其他人是否會發現同樣的問題。

　　蘋果設備向來以安全著稱，甚至為傑米聖貝納迪諾槍手的iPhone與FBI對薄公堂。但是FBI最終在沒有蘋果公司的幫助下解密了這部手機，據說他們支付100多萬美元費用向職業黑客求助。蘋果始終是安全消費產品領域的領先者，這部分是因為該公司牢牢控制著iPhone平台。但這也吸引了更多黑客想要侵入蘋果產品中。

2016-8-26 03:11 Charlie Miller 對於此事件意味深長的評論

2016-8-26 10:00 相關新聞（含部分 技術細節）

https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

2016-8-26 10:05 Lookout對於該漏洞的分析報告：Technical Analysis of Pegasus Spyware

https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

報告國內鏡像：請輸入提取碼（提取碼：cf59）

2016-8-26 12:10 更新iOS的「Trident」漏洞和Pyaload分析（初稿）

在這一部分，我們將會給大家介紹此次攻擊事件的技術細節分析，其中包括Trident iOS漏洞利用以及相關的惡意payload。由於此次事件較為緊急，所以我們提供給大家的是初步的分析結果，後續還會給大家帶來詳細的分析報告。

Mansoor使用的手機為iPhone6，運行的系統為iOS 9.3.3。但是我們手頭上並沒有可以進行測試的iPhone6手機，所以我們使用了iPhone5手機來代替。除此之外，當Mansoor收到惡意簡訊時，最新的iOS版本為9.3.4。

我們在測試手機上用Safari瀏覽器訪問了這條惡意鏈接，大約十秒過後，瀏覽器顯示了一個空白頁面，隨後Safari的窗口便自動關閉了。此後，測試iPhone的屏幕上並沒有顯示任何的活動畫面。與此同時，我們發現這條惡意鏈接還利用了Safari瀏覽器中存在的漏洞。從下面的網路請求數據中可以看到兩個惡意payload：final111和test111.tar。其中，final111隻是一個中間文件，test111.tar才是最終的有效攻擊載荷，這兩個payload共同組成了「Trident」漏洞的觸發因素。

從上面這張截圖中可以看到，在我們點擊了惡意鏈接之後，我們的手機將會向http://sms.webadv.co發送請求數據。第一個請求是我們點擊了鏈接之後，瀏覽器自動發送的請求信息。而中間文件final111則會向惡意伺服器請求ntf_bed.html，ntf_brc.html，以及test111.tar這三個文件。需要注意的是，所有的這些請求都是通過Safari瀏覽器完成的。

1.1 Trident漏洞利用分析

當用戶使用iPhone點擊了這條惡意鏈接之後，瀏覽器首先會下載一個JavaScript腳本（代碼已混淆處理）。這個JavaScript腳本會通過XMLHttpRequest來下載中間文件final111。在攻擊的第一階段，惡意程序利用了WebKit中的一個此前未被發現的內存崩潰漏洞（CVE-2016-4657），並通過Safari瀏覽器來執行惡意代碼。

攻擊的第二階段首先利用了系統的一個函數來獲取內核內存地址（CVE-2016-4655），攻擊者可以利用這個基地址映射出內核數據。隨後，攻擊者便能夠利用內核中存在的內存崩潰漏洞（CVE-2016-4656）來進行攻擊了。在上述這三個漏洞中，最後一個漏洞可以使設備的代碼簽名驗證功能失效，這樣一來，攻擊者就可以在設備上執行任意代碼了。攻擊的第二階段完成之後，第三階段便是安裝間諜軟體的payload。

1.2 惡意payload

1.2.1 持久性

為了實現payload的持續感染，間諜軟體會禁用蘋果手機的自動更新功能，然後檢測並刪除其他的越獄軟體。

1.2.2 信息記錄

攻擊payload中包含一個經過重命名的Cydia（一個第三方應用程序開發框架）副本，payload可以使用它來記錄目標app中所有發生的操作，例如簡訊數據和通話記錄等信息。

為了成功記錄下WhatsApp的聊天信息以及Viber的通話記錄，間諜軟體可以利用Cydia來感染WhatsApp和Viber，然後使用鉤子函數來監控這些app的運行狀態。當這些應用程序中的函數被調用時，鉤子函數便會通知間諜軟體，間諜軟體在監聽到了這些通知信息之後，便會開始記錄相應程序的數據和操作行為。我們的初步分析表明，除了Viber和WhatsApp之外，受影響的應用程序可能還包括：微信、iMessage、Gmail、Facebook、Telegram、Skype、Line、KakaoTalk、Surespot、http://Imo.im、http://Mail.Ru、Tango、VK、以及Odnoklassniki。

除此之外，間諜軟體不僅可以提取出目標手機中的日曆信息和聯繫人數據，而且還可以獲取到保存在iphone手機中的密碼，包括Wi-FI密碼和其他網路服務的密碼。

1.2.3 數據提取

在攻擊的第二階段，攻擊payload的信標將會通過HTTPS協議發送到攻擊者的命令控制（C2）伺服器。惡意鏈接請求的代碼中包含下列字元串：

WW91ciBHb29nbGUgdmVyaWZpY2F0aW9uIGNvZGUgaXM6NTY3ODQyOQpodHRwOi8vZ21haWwuY29tLz96PUZFY0NBQT09Jmk9TVRwaFlXeGhZVzR1ZEhZNk5EUXpMREU2YldGdWIzSmhiMjVzYVc1bExtNWxkRG8wTkRNPSZzPXpwdnpQU1lTNjc0PQ==

使用Base64進行解碼之後，我們得到了下列明文信息：

Your Google verification code is:5678429

http://gmail.com/?z=FEcCAA==&i=MTphYWxhYW4udHY6NDQzLDE6bWFub3Jhb25saW5lLm5ldDo0NDM=&s=zpvzPSYS674=

從上面的明文信息中可以看出，它與Google的雙因素身份驗證代碼非常的相似，但是合法的Google信息中並不包含超鏈接，而且驗證碼的位數也沒有這麼多。我們使用Base64來解碼URL中參數「i」的值，得到了下列數據：

1:aalaan.tv:443,1:http://manoraonline.net:443

這就是攻擊者託管間諜軟體所使用的C2伺服器：http://aalaan.tv和http://manoraonline.net。

除此之外，攻擊者在將受感染手機中的簡訊數據回傳給控制伺服器時，似乎也使用了類似的混淆手法。為了防止託管間諜軟體的C2伺服器出現無法訪問的情況，攻擊者可以利用這種類型的簡訊來更新C2伺服器的地址，這種手法與FinFisher的 「緊急配置更新」功能十分相似。

2016-8-26 12:22 蘋果補丁驗證伺服器出現宕機情況，目前下載好補丁無法驗證安裝的同學請稍後再試。。。

解決辦法：

設置 - 更新 - 升級最新iOS 9.3.5 漏洞補丁（PS：本次補丁僅修復2種漏洞中需要點擊觸發的，無需點擊鏈接觸發的尚未發布，故暫時沒有補丁，請大家持續關注）

原文地址：iOS 9.3.5緊急發布背後真相:NSO使用iPhone 0day無需點擊遠程攻破蘋果手機（8月26日 12:10更新）

推薦閱讀：