iOS 9.3.5紧急发布背后真相:NSO使用iPhone 0day无需点击远程攻破苹果手机(8月26日 13:41更新)
据华盛顿邮报报道,许多人都以为自己的iPhone是绝对安全的,但最新研究显示,苹果移动操作系统iOS中多年来始终存在三种此前未知的“零日漏洞”,实际上苹果用户始终处于危险之中。加拿大多伦多大学蒙克全球事务学院下属的公民实验室(Citizen Lab)与美国加州旧金山移动安全公司Lookout发布最新报告显示,有一种间谍软件能够利用iOS系统中多年存在的三种“零日漏洞”,通过诱使iPhone用户点击文本信息中的链接,帮助接管该用户的智能手机。
Lookout公司主管安全研究的副总裁迈克·默里(Mike Murray)说:“这是我们见过的专门针对手机的最复杂的间谍软件。”研究人员发现,这款间谍软件与以色列公司NSO Group有关,它已经于2014年被美国私人股本公司Francisco Partners收购,其开发的间谍软件在很多时候都被用于针对记者和活动家。
苹果已经于周四发布了补丁,并发表声明称:“我们推荐所有用户下载最新版本的iOS系统,以便在潜在安全漏洞中保护好自己。”但是这款间谍软件突出了这样一个事实:即使拥有强大安全声誉的科技公司,依然难与黑客工具泛滥的强大市场竞争,因为这些工具赋予了政府强大的数字监控能力。
“Trident”漏洞相关信息:
-CVE-2016-4655:该漏洞将有可能导致应用程序泄漏系统内核内存中的数据;
-CVE-2016-4656:该漏洞将有可能导致应用程序以内核权限来执行任意代码;
-CVE-2016-4657:访问了精心设计的恶意网站之后,攻击者或可利用该漏洞实现任意代码执行;
针对苹果iOS系统的间谍软件首先在阿联酋民主活动家艾哈迈德·曼苏尔(Ahmed Mansoor)的iPhone 6上发现,他收到2条文本信息,承诺将透露阿联酋监狱受虐囚犯的“秘密”。曼苏尔立即产生怀疑,他称自己经常成为政府使用恶意软件针对的目标。每次他们得到新的间谍软件,都会在他身上进行尝试。
为此,曼苏尔没有点击信息中的链接,而是立即将其转发给公民实验室(Citizen Lab)的研究人员。在与移动安全公司Lookout的安全专家努力下,他们证实了曼苏尔的担忧:如果他点击了链接,袭击者的确可以接管他的手机。
公民实验室(Citizen Lab)认为,阿联酋政府可能是针对曼苏尔手机发动袭击的幕后力量,但无法提供证据。阿联酋还未就此作出回应。但是NSO Group曾在宣传册中介绍针对曼苏尔的间谍软件,它被称为Pegasus,允许黑客远程隐身追踪目标设备,并从中获取完整的数据。
此外,公民实验室(Citizen Lab)发现,负责报道腐败丑闻的墨西哥记者也成为间谍软件的针对目标,他也收到含有特定链接的文本信息,这个链接似乎与墨西哥某个著名新闻媒体有关。公民实验室(Citizen Lab)还无法确定此案的具体攻击者,但他们认为证据标明,墨西哥政府是攻击背后的支持者。墨西哥政府也为做出置评。
公民实验室(Citizen Lab)和Lookout发出警告后,苹果立即着手修复漏洞。曼苏尔在8月10日和11日遭到攻击,苹果在接到通知后10天内即可给出解决方案。但是来自间谍软件的细节显示,它已经被利用了很多年。普通用户面临的危险十分有限,因为NSO Group称其间谍软件只卖给政府机构。
NSO Group发言人在声明中称,他们不清楚曼苏尔或墨西哥记者的事情,本身也没有运行任何恶意软件系统。该公司已经与客户签署协议,要求他们的产品只能被以合法方式使用。具体来说,这些产品只能被用来预防和调查犯罪。
可是过去的研究显示,有些政府机构利用这种间谍软件监视反对者和记者。正如最近曝光的美国国安局文件显示,那些依赖没有安全补丁的漏洞运行的恶意软件,如果漏洞曝光,可能危及公众安全。政府和类似NSO Group等开发黑客工具而非向开发人员报告漏洞的公司,也可能威胁所有用户的安全,因为他们无法确保其他人是否会发现同样的问题。
苹果设备向来以安全著称,甚至为杰米圣贝纳迪诺枪手的iPhone与FBI对薄公堂。但是FBI最终在没有苹果公司的帮助下解密了这部手机,据说他们支付100多万美元费用向职业黑客求助。苹果始终是安全消费产品领域的领先者,这部分是因为该公司牢牢控制着iPhone平台。但这也吸引了更多黑客想要侵入苹果产品中。
2016-8-26 03:11 Charlie Miller 对于此事件意味深长的评论
2016-8-26 10:00 相关新闻(含部分 技术细节)
https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
2016-8-26 10:05 Lookout对于该漏洞的分析报告:Technical Analysis of Pegasus Spyware
https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
报告国内镜像:https://yunpan.cn/cMqZiiTzHNMWZ(提取码:cf59)
2016-8-26 12:10 更新iOS的“Trident”漏洞和Pyaload分析(初稿)
在这一部分,我们将会给大家介绍此次攻击事件的技术细节分析,其中包括Trident iOS漏洞利用以及相关的恶意payload。由于此次事件较为紧急,所以我们提供给大家的是初步的分析结果,后续还会给大家带来详细的分析报告。
Mansoor使用的手机为iPhone6,运行的系统为iOS 9.3.3。但是我们手头上并没有可以进行测试的iPhone6手机,所以我们使用了iPhone5手机来代替。除此之外,当Mansoor收到恶意短信时,最新的iOS版本为9.3.4。
我们在测试手机上用Safari浏览器访问了这条恶意链接,大约十秒过后,浏览器显示了一个空白页面,随后Safari的窗口便自动关闭了。此后,测试iPhone的屏幕上并没有显示任何的活动画面。与此同时,我们发现这条恶意链接还利用了Safari浏览器中存在的漏洞。从下面的网络请求数据中可以看到两个恶意payload:final111和test111.tar。其中,final111只是一个中间文件,test111.tar才是最终的有效攻击载荷,这两个payload共同组成了“Trident”漏洞的触发因素。
从上面这张截图中可以看到,在我们点击了恶意链接之后,我们的手机将会向sms.webadv.co发送请求数据。第一个请求是我们点击了链接之后,浏览器自动发送的请求信息。而中间文件final111则会向恶意服务器请求ntf_bed.html,ntf_brc.html,以及test111.tar这三个文件。需要注意的是,所有的这些请求都是通过Safari浏览器完成的。
1.1 Trident漏洞利用分析
当用户使用iPhone点击了这条恶意链接之后,浏览器首先会下载一个JavaScript脚本(代码已混淆处理)。这个JavaScript脚本会通过XMLHttpRequest来下载中间文件final111。在攻击的第一阶段,恶意程序利用了WebKit中的一个此前未被发现的内存崩溃漏洞(CVE-2016-4657),并通过Safari浏览器来执行恶意代码。
攻击的第二阶段首先利用了系统的一个函数来获取内核内存地址(CVE-2016-4655),攻击者可以利用这个基地址映射出内核数据。随后,攻击者便能够利用内核中存在的内存崩溃漏洞(CVE-2016-4656)来进行攻击了。在上述这三个漏洞中,最后一个漏洞可以使设备的代码签名验证功能失效,这样一来,攻击者就可以在设备上执行任意代码了。攻击的第二阶段完成之后,第三阶段便是安装间谍软件的payload。
1.2 恶意payload
1.2.1 持久性
为了实现payload的持续感染,间谍软件会禁用苹果手机的自动更新功能,然后检测并删除其他的越狱软件。
1.2.2 信息记录
攻击payload中包含一个经过重命名的Cydia(一个第三方应用程序开发框架)副本,payload可以使用它来记录目标app中所有发生的操作,例如短信数据和通话记录等信息。
为了成功记录下WhatsApp的聊天信息以及Viber的通话记录,间谍软件可以利用Cydia来感染WhatsApp和Viber,然后使用钩子函数来监控这些app的运行状态。当这些应用程序中的函数被调用时,钩子函数便会通知间谍软件,间谍软件在监听到了这些通知信息之后,便会开始记录相应程序的数据和操作行为。我们的初步分析表明,除了Viber和WhatsApp之外,受影响的应用程序可能还包括:微信、iMessage、Gmail、Facebook、Telegram、Skype、Line、KakaoTalk、Surespot、Imo.im、Mail.Ru、Tango、VK、以及Odnoklassniki。
除此之外,间谍软件不仅可以提取出目标手机中的日历信息和联系人数据,而且还可以获取到保存在iphone手机中的密码,包括Wi-FI密码和其他网络服务的密码。
1.2.3 数据提取
在攻击的第二阶段,攻击payload的信标将会通过HTTPS协议发送到攻击者的命令控制(C2)服务器。恶意链接请求的代码中包含下列字符串:
WW91ciBHb29nbGUgdmVyaWZpY2F0aW9uIGNvZGUgaXM6NTY3ODQyOQpodHRwOi8vZ21haWwuY29tLz96PUZFY0NBQT09Jmk9TVRwaFlXeGhZVzR1ZEhZNk5EUXpMREU2YldGdWIzSmhiMjVzYVc1bExtNWxkRG8wTkRNPSZzPXpwdnpQU1lTNjc0PQ==
使用Base64进行解码之后,我们得到了下列明文信息:
Your Google verification code is:5678429
http://gmail.com/?z=FEcCAA==&i=MTphYWxhYW4udHY6NDQzLDE6bWFub3Jhb25saW5lLm5ldDo0NDM=&s=zpvzPSYS674=
从上面的明文信息中可以看出,它与Google的双因素身份验证代码非常的相似,但是合法的Google信息中并不包含超链接,而且验证码的位数也没有这么多。我们使用Base64来解码URL中参数“i”的值,得到了下列数据:
1:aalaan.tv:443,1:manoraonline.net:443
这就是攻击者托管间谍软件所使用的C2服务器:aalaan.tv和manoraonline.net。
除此之外,攻击者在将受感染手机中的短信数据回传给控制服务器时,似乎也使用了类似的混淆手法。为了防止托管间谍软件的C2服务器出现无法访问的情况,攻击者可以利用这种类型的短信来更新C2服务器的地址,这种手法与FinFisher的 “紧急配置更新”功能十分相似。
2016-8-26 12:22 苹果补丁验证服务器出现宕机情况,目前下载好补丁无法验证安装的同学请稍后再试。。。
2016-8-26 13:41 by 雷锋网 史中
国内顶级 iOS 越狱团队盘古的核心成员 DM557(陈晓波)为我们还原了这种“远程越狱”的全过程:
1、攻击者首先通过 SMS 短信把一个链接发送给目标任务,当目标任务点击链接之后,会访问攻击者的一个网站。
2、攻击者的网站上会放置一个针对 Mobile Safari 的攻击程序,这个程序中,包含了MobileSafari Javascript 引擎的一个 0day 漏洞。
3、攻击程序被执行之后,攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是被囚禁在沙盒之内。
4、接下来,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。
5、获得内核执行权限后,攻击者就完成了手机越狱。这时他会关闭一些iOS的安全保护机制,比如开启rootfs的读写,关闭代码签名等等。
6、完成攻击之后,入侵者就成为了手机的“主人”,可以实现对手机通信、流量的全面监听。
AD:需要的iOS防APT的同学请自取
盘古针对iOS设备的APT检测产品(http://pwnzen.com/apt.html)首先通过利用越狱漏洞攻破苹果的封闭体系获取系统最高权限,随后对整个系统的文件、配置、运行状态等进行深入扫描。扫描功能包括设备配置检测、程序签名证书检测、系统应用检测、进程信息检测、越狱状态检测、越狱插件检测、设备风险项检测、系统文件差异化检测、网络端口检测。
解决办法:
设置 - 更新 - 升级最新iOS 9.3.5 漏洞补丁(PS:本次补丁仅修复2种漏洞中需要点击触发的,无需点击链接触发的尚未发布,故暂时没有补丁,请大家持续关注)
来源:安全客 作者:安全客
官方 