今天小編分享的科技經驗:攻擊者正在利用iMessage發起一種名為Triangulation的攻擊活動,歡迎閲讀。
根據卡巴斯基發布的最新報告,有攻擊者利用 iMessage 來傳播惡意軟體,iOS 15.7 以及此前版本均受到影響。研究人員通過 mvt-ios(iOS 移動驗證工具包)分析問題設備之後,發現攻擊者可以通過 iMessage 發送信息,受害者在接收到信息之後,不需要任何用户互動,就能觸發系統内漏洞,從而執行任意惡意代碼。
具體分析
卡巴斯基實驗室研究人員在監控專用于移動設備的 Wi-Fi 網絡的網絡流量時,注意到幾個基于 ios 的手機的可疑活動。由于無法從内部檢查現代 iOS 設備,研究人員創建了這些被攻擊設備的離線備份,使用移動驗證工具包的 mvt-ios 對其進行了檢查,并發現了攻擊的一些技術細節。移動驗證工具包 ( MVT ) 是一組實用程式,用于簡化和自動化收集取證痕迹的過程,有助于識别 Android 和 iOS 設備的潛在危害。目前,研究人員将這個攻擊活動稱為 "Triangulation 活動 "。
研究人員創建的移動設備備份包含檔案系統的部分副本,包括一些用户數據和服務數據庫。檔案、檔案夾和數據庫記錄的時間戳允許研究人員重建設備上發生的事件。mvt-ios 實用程式将事件的排序時間軸生成一個名為 "timeline.csv" 的檔案,類似于傳統數字取證工具使用的超級時間軸。
使用這個時間軸,研究人員能夠識别出被攻擊的特定固件,并重建了一般的攻擊順序:
1. 目标 iOS 設備通過 iMessage 服務接收一條消息,其中包含一個包含漏洞的附件。
2. 在沒有任何用户互動的情況下,該消息會觸發導致代碼執行的漏洞。
3. 利用漏洞攻擊中的代碼從 C&C 伺服器下載幾個後續階段,其中包括用于權限提升的其他利用漏洞攻擊;
4. 成功利用後,從 C&C 伺服器下載最終有效負載,這是一個功能齊全的 APT 平台。
5. 附件中的初始消息和漏洞攻擊痕迹會被自動删除。
惡意工具集不支持持久性,很可能是由于作業系統的限制。多個設備的時間軸表明,它們可能在重新啓動後被重新攻擊。研究人員發現的最古老的攻擊痕迹發生在 2019 年。截至發文時,攻擊仍在進行中,最新被攻擊的版本為 iOS 15.7。
對最終有效負載的分析尚未完成,該代碼以 root 權限運行,實現了一組用于收集系統和用户信息的命令,并且可以運行從 C&C 伺服器下載的作為插件模塊的任意代碼。
需要注意的是,盡管惡意軟體包括專門用于清除攻擊痕迹的代碼部分,但可以可靠地識别設備是否被攻擊。此外,如果通過從舊設備遷移用户數據來設定新設備,那麼該設備的 iTunes 備份将包含發生在這兩個設備上的攻擊痕迹,并帶有正确的時間戳。
所有潛在的目标設備都必須使用 iTunes 或開源實用程式 idevicebackup2(來自 libimobiledevice 包)進行備份。後者作為最流行的 Linux 發行版的預構建包提供,或者可以從 MacOS/Linux 的源代碼構建。
要使用 idevicebackup2 創建備份,就要運行以下命令:
idevicebackup2 backup --full $backup_directory
你可能需要多次輸入設備的安全碼,根據存儲的用户數據量,該過程可能需要幾個小時。
安裝 MVT
備份準備就緒後,就必須由移動驗證工具包進行處理。如果系統中安裝了 Python 3,就要運行以下命令:
pip install mvt
更全面的安裝手冊可以在 MVT 主頁上找到。
解密備份
如果設備所有者以前已為備份設定了加密,則備份副本将被加密。在這種情況下,備份副本必須在運行檢查之前解密:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
使用 MVT 分析備份
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory 命令将通過 MVT 運行所有檢查,輸出目錄将包含幾個 JSON 和 CSV 檔案。使用本文中描述的方法時,你将需要名為 timeline.csv 的檔案。
查看 timeline.csv 中的指标
研究人員發現的唯一最可靠的指标是提到名為 "BackupAgent" 的進程的數據使用行。這是一個廢棄的二進制檔案,在正常使用設備期間該檔案不應出現在時間軸中。然而,需要注意的是,還有一個名為 "BackupAgent2" 的二進制檔案,這并不是一個攻擊指标。
在許多情況下,BackupAgent 前面有一個進程 "IMTransferAgent",它下載的附件恰好是一個漏洞,這導致修改 "Library/SMS/Attachments" 中多個目錄的時間戳。然後删除附件,只留下修改過的目錄,其中沒有實際的檔案:
還有一些不太可靠的指标,如果其中幾個指标在幾分鍾内發生,則可能被視為 IOC:
1. 修改一個或多個檔案:com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist;
2. 服務的數據使用信息 com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security。
示例:
另一個示例:修改短信附件目錄(但沒有附件檔案名),然後使用 com.apple.WebKit.WebContent 的數據,最後修改 com.apple.locationd.StatusBarIconManager.plist。所有事件都發生在 1-3 分鍾内,這表明通過 iMessage 附件成功實現了攻擊。
另外一個攻擊指标是用户無法安裝 iOS 更新。研究人員發現了發現惡意代碼修改了一個名為 com.apple.softwareupdateservicesd.plist 的系統設定檔案,他們觀察到更新嘗試以錯誤消息 " 軟體更新失敗,下載 iOS 時出錯 " 結束。
漏洞利用期間的網絡活動
在網絡活動中,成功的利用嘗試可以通過幾個 HTTPS 連接事件的順序來識别。這些可以在包含 DNS/TLS 主機信息的網絡流數據或 PCAP 轉儲中被發現:
1. 與 iMessage 服務進行合法的網絡互動,通常使用網域名 *.ess.apple.com;
2. 使用網域名 icloud-content.com、content.icloud.com 下載 iMessage 附件;
3. 到 C&C 網域的多個連接,通常是 2 個不同的網域(下面是已知網域的列表)。C&C 會話的典型網絡流數據将顯示具有大量傳出流量的網絡會話。
網絡漏洞利用順序,Wireshark 轉儲
iMessage 附件是通過 HTTPS 加密和下載的,唯一可以使用的隐含指标是下載的數據量,約為 242 Kb。
加密 iMessage 附件,Wireshark 轉儲
C&C 網域
使用取證固件,可以識别漏洞利用和之後惡意階段使用的網域名集。它們可用于檢查 DNS 日志中的歷史信息,并識别當前運行惡意軟體的設備:
addatamarket [ . ] netbackuprabbit [ . ] combusinessvideonews [ . ] comcloudsponcer [ . ] comdatamarketplace [ . ] netmobilegamerstats [ . ] comsnoweeanalytics [ . ] comtagclick-cdn [ . ] comtopographyupdates [ . ] comunlimitedteacup [ . ] comvirtuallaughing [ . ] comweb-trackers [ . ] comgrowthtransport [ . ] comanstv [ . ] netans7tv [ . ] net
盡管卡巴斯基已經發現了這一漏洞,但關于該漏洞的最新修復和更新信息暫未得知。為了确保設備安全,建議用户及時更新到最新的 iOS 系統版本,并遵循相關的安全建議和最佳實踐。同時,避免點擊來自不明來源的鏈接或點擊可疑信息。
