iOS 9.3.5緊急發布背後真相:NSO使用iPhone 0day無需點擊遠程攻破蘋果手機(8月26日 12:10更新)

作者:安全客

iOS曝重大0day,黑客利用三個高價0day組合攻擊,可遠程控制手機,竊取隱私數據,這是世界上首次公開披露針對iOS的APT攻擊。

據華盛頓郵報報道,許多人都以為自己的iPhone是絕對安全的,但最新研究顯示,蘋果移動操作系統iOS中多年來始終存在三種此前未知的「零日漏洞」,實際上蘋果用戶始終處於危險之中。加拿大多倫多大學蒙克全球事務學院下屬的公民實驗室(Citizen Lab)與美國加州舊金山移動安全公司Lookout發布最新報告顯示,有一種間諜軟體能夠利用iOS系統中多年存在的三種「零日漏洞」,通過誘使iPhone用戶點擊文本信息中的鏈接,幫助接管該用戶的智能手機。

Lookout公司主管安全研究的副總裁邁克·默里(Mike Murray)說:「這是我們見過的專門針對手機的最複雜的間諜軟體。」研究人員發現,這款間諜軟體與以色列公司NSO Group有關,它已經於2014年被美國私人股本公司Francisco Partners收購,其開發的間諜軟體在很多時候都被用於針對記者和活動家。

  蘋果已經於周四發布了補丁,並發表聲明稱:「我們推薦所有用戶下載最新版本的iOS系統,以便在潛在安全漏洞中保護好自己。」但是這款間諜軟體突出了這樣一個事實:即使擁有強大安全聲譽的科技公司,依然難與黑客工具泛濫的強大市場競爭,因為這些工具賦予了政府強大的數字監控能力。

「Trident」漏洞相關信息:

-CVE-2016-4655:該漏洞將有可能導致應用程序泄漏系統內核內存中的數據;

-CVE-2016-4656:該漏洞將有可能導致應用程序以內核許可權來執行任意代碼;

-CVE-2016-4657:訪問了精心設計的惡意網站之後,攻擊者或可利用該漏洞實現任意代碼執行;

  針對蘋果iOS系統的間諜軟體首先在阿聯酋民主活動家艾哈邁德·曼蘇爾(Ahmed Mansoor)的iPhone 6上發現,他收到2條文本信息,承諾將透露阿聯酋監獄受虐囚犯的「秘密」。曼蘇爾立即產生懷疑,他稱自己經常成為政府使用惡意軟體針對的目標。每次他們得到新的間諜軟體,都會在他身上進行嘗試。

  為此,曼蘇爾沒有點擊信息中的鏈接,而是立即將其轉發給公民實驗室(Citizen Lab)的研究人員。在與移動安全公司Lookout的安全專家努力下,他們證實了曼蘇爾的擔憂:如果他點擊了鏈接,襲擊者的確可以接管他的手機。

  公民實驗室(Citizen Lab)認為,阿聯酋政府可能是針對曼蘇爾手機發動襲擊的幕後力量,但無法提供證據。阿聯酋還未就此作出回應。但是NSO Group曾在宣傳冊中介紹針對曼蘇爾的間諜軟體,它被稱為Pegasus,允許黑客遠程隱身追蹤目標設備,並從中獲取完整的數據。

  此外,公民實驗室(Citizen Lab)發現,負責報道腐敗醜聞的墨西哥記者也成為間諜軟體的針對目標,他也收到含有特定鏈接的文本信息,這個鏈接似乎與墨西哥某個著名新聞媒體有關。公民實驗室(Citizen Lab)還無法確定此案的具體攻擊者,但他們認為證據標明,墨西哥政府是攻擊背後的支持者。墨西哥政府也為做出置評。

  公民實驗室(Citizen Lab)和Lookout發出警告後,蘋果立即著手修復漏洞。曼蘇爾在8月10日和11日遭到攻擊,蘋果在接到通知後10天內即可給出解決方案。但是來自間諜軟體的細節顯示,它已經被利用了很多年。普通用戶面臨的危險十分有限,因為NSO Group稱其間諜軟體只賣給政府機構。

  NSO Group發言人在聲明中稱,他們不清楚曼蘇爾或墨西哥記者的事情,本身也沒有運行任何惡意軟體系統。該公司已經與客戶簽署協議,要求他們的產品只能被以合法方式使用。具體來說,這些產品只能被用來預防和調查犯罪。

  可是過去的研究顯示,有些政府機構利用這種間諜軟體監視反對者和記者。正如最近曝光的美國國安局文件顯示,那些依賴沒有安全補丁的漏洞運行的惡意軟體,如果漏洞曝光,可能危及公眾安全。政府和類似NSO Group等開發黑客工具而非向開發人員報告漏洞的公司,也可能威脅所有用戶的安全,因為他們無法確保其他人是否會發現同樣的問題。

  蘋果設備向來以安全著稱,甚至為傑米聖貝納迪諾槍手的iPhone與FBI對薄公堂。但是FBI最終在沒有蘋果公司的幫助下解密了這部手機,據說他們支付100多萬美元費用向職業黑客求助。蘋果始終是安全消費產品領域的領先者,這部分是因為該公司牢牢控制著iPhone平台。但這也吸引了更多黑客想要侵入蘋果產品中。

2016-8-26 03:11 Charlie Miller 對於此事件意味深長的評論

2016-8-26 10:00 相關新聞(含部分 技術細節)

citizenlab.org/2016/08/

2016-8-26 10:05 Lookout對於該漏洞的分析報告:Technical Analysis of Pegasus Spyware

info.lookout.com/rs/051

報告國內鏡像:請輸入提取碼(提取碼:cf59)

2016-8-26 12:10 更新iOS的「Trident」漏洞和Pyaload分析(初稿)

在這一部分,我們將會給大家介紹此次攻擊事件的技術細節分析,其中包括Trident iOS漏洞利用以及相關的惡意payload。由於此次事件較為緊急,所以我們提供給大家的是初步的分析結果,後續還會給大家帶來詳細的分析報告。

Mansoor使用的手機為iPhone6,運行的系統為iOS 9.3.3。但是我們手頭上並沒有可以進行測試的iPhone6手機,所以我們使用了iPhone5手機來代替。除此之外,當Mansoor收到惡意簡訊時,最新的iOS版本為9.3.4。

我們在測試手機上用Safari瀏覽器訪問了這條惡意鏈接,大約十秒過後,瀏覽器顯示了一個空白頁面,隨後Safari的窗口便自動關閉了。此後,測試iPhone的屏幕上並沒有顯示任何的活動畫面。與此同時,我們發現這條惡意鏈接還利用了Safari瀏覽器中存在的漏洞。從下面的網路請求數據中可以看到兩個惡意payload:final111和test111.tar。其中,final111隻是一個中間文件,test111.tar才是最終的有效攻擊載荷,這兩個payload共同組成了「Trident」漏洞的觸發因素。

從上面這張截圖中可以看到,在我們點擊了惡意鏈接之後,我們的手機將會向sms.webadv.co發送請求數據。第一個請求是我們點擊了鏈接之後,瀏覽器自動發送的請求信息。而中間文件final111則會向惡意伺服器請求ntf_bed.html,ntf_brc.html,以及test111.tar這三個文件。需要注意的是,所有的這些請求都是通過Safari瀏覽器完成的。

1.1 Trident漏洞利用分析

當用戶使用iPhone點擊了這條惡意鏈接之後,瀏覽器首先會下載一個JavaScript腳本(代碼已混淆處理)。這個JavaScript腳本會通過XMLHttpRequest來下載中間文件final111。在攻擊的第一階段,惡意程序利用了WebKit中的一個此前未被發現的內存崩潰漏洞(CVE-2016-4657),並通過Safari瀏覽器來執行惡意代碼。

攻擊的第二階段首先利用了系統的一個函數來獲取內核內存地址(CVE-2016-4655),攻擊者可以利用這個基地址映射出內核數據。隨後,攻擊者便能夠利用內核中存在的內存崩潰漏洞(CVE-2016-4656)來進行攻擊了。在上述這三個漏洞中,最後一個漏洞可以使設備的代碼簽名驗證功能失效,這樣一來,攻擊者就可以在設備上執行任意代碼了。攻擊的第二階段完成之後,第三階段便是安裝間諜軟體的payload。

1.2 惡意payload

1.2.1 持久性

為了實現payload的持續感染,間諜軟體會禁用蘋果手機的自動更新功能,然後檢測並刪除其他的越獄軟體。

1.2.2 信息記錄

攻擊payload中包含一個經過重命名的Cydia(一個第三方應用程序開發框架)副本,payload可以使用它來記錄目標app中所有發生的操作,例如簡訊數據和通話記錄等信息。

為了成功記錄下WhatsApp的聊天信息以及Viber的通話記錄,間諜軟體可以利用Cydia來感染WhatsApp和Viber,然後使用鉤子函數來監控這些app的運行狀態。當這些應用程序中的函數被調用時,鉤子函數便會通知間諜軟體,間諜軟體在監聽到了這些通知信息之後,便會開始記錄相應程序的數據和操作行為。我們的初步分析表明,除了Viber和WhatsApp之外,受影響的應用程序可能還包括:微信、iMessage、Gmail、Facebook、Telegram、Skype、Line、KakaoTalk、Surespot、Imo.imMail.Ru、Tango、VK、以及Odnoklassniki。

除此之外,間諜軟體不僅可以提取出目標手機中的日曆信息和聯繫人數據,而且還可以獲取到保存在iphone手機中的密碼,包括Wi-FI密碼和其他網路服務的密碼。

1.2.3 數據提取

在攻擊的第二階段,攻擊payload的信標將會通過HTTPS協議發送到攻擊者的命令控制(C2)伺服器。惡意鏈接請求的代碼中包含下列字元串:

WW91ciBHb29nbGUgdmVyaWZpY2F0aW9uIGNvZGUgaXM6NTY3ODQyOQpodHRwOi8vZ21haWwuY29tLz96PUZFY0NBQT09Jmk9TVRwaFlXeGhZVzR1ZEhZNk5EUXpMREU2YldGdWIzSmhiMjVzYVc1bExtNWxkRG8wTkRNPSZzPXpwdnpQU1lTNjc0PQ==

使用Base64進行解碼之後,我們得到了下列明文信息:

Your Google verification code is:5678429

gmail.com/?

從上面的明文信息中可以看出,它與Google的雙因素身份驗證代碼非常的相似,但是合法的Google信息中並不包含超鏈接,而且驗證碼的位數也沒有這麼多。我們使用Base64來解碼URL中參數「i」的值,得到了下列數據:

1:aalaan.tv:443,1:manoraonline.net:443

這就是攻擊者託管間諜軟體所使用的C2伺服器:aalaan.tvmanoraonline.net

除此之外,攻擊者在將受感染手機中的簡訊數據回傳給控制伺服器時,似乎也使用了類似的混淆手法。為了防止託管間諜軟體的C2伺服器出現無法訪問的情況,攻擊者可以利用這種類型的簡訊來更新C2伺服器的地址,這種手法與FinFisher的 「緊急配置更新」功能十分相似。

2016-8-26 12:22 蘋果補丁驗證伺服器出現宕機情況,目前下載好補丁無法驗證安裝的同學請稍後再試。。。

解決辦法:

設置 - 更新 - 升級最新iOS 9.3.5 漏洞補丁(PS:本次補丁僅修復2種漏洞中需要點擊觸發的,無需點擊鏈接觸發的尚未發布,故暫時沒有補丁,請大家持續關注)

原文地址:iOS 9.3.5緊急發布背後真相:NSO使用iPhone 0day無需點擊遠程攻破蘋果手機(8月26日 12:10更新)


推薦閱讀:

一個 8 年 iOS 開發者的五個建議
iOS 的日曆 icon 能換成純黑色? | 一日一技
提升 iOS 開發效率! Xcode 9 內置模擬器的9個技巧
談談 MVX 中的 Model

TAG:网络安全 | 黑客Hacker | iOS |