天天動(dòng)態(tài):攻擊者正在利用 iMessage 發(fā)起一種名為 Triangulation 的攻擊活動(dòng)

根據(jù)卡巴斯基發(fā)布的最新報(bào)告，有攻擊者利用 iMessage 來(lái)傳播惡意軟件，iOS 15.7 以及此前版本均受到影響。研究人員通過(guò) mvt-ios（iOS 移動(dòng)驗(yàn)證工具包）分析問(wèn)題設(shè)備之后，發(fā)現(xiàn)攻擊者可以通過(guò) iMessage 發(fā)送信息，受害者在接收到信息之后，不需要任何用戶交互，就能觸發(fā)系統(tǒng)內(nèi)漏洞，從而執(zhí)行任意惡意代碼。

具體分析

卡巴斯基實(shí)驗(yàn)室研究人員在監(jiān)控專用于移動(dòng)設(shè)備的 Wi-Fi 網(wǎng)絡(luò)的網(wǎng)絡(luò)流量時(shí)，注意到幾個(gè)基于 ios 的手機(jī)的可疑活動(dòng)。由于無(wú)法從內(nèi)部檢查現(xiàn)代 iOS 設(shè)備，研究人員創(chuàng)建了這些被攻擊設(shè)備的離線備份，使用移動(dòng)驗(yàn)證工具包的 mvt-ios 對(duì)其進(jìn)行了檢查，并發(fā)現(xiàn)了攻擊的一些技術(shù)細(xì)節(jié)。移動(dòng)驗(yàn)證工具包 ( MVT ) 是一組實(shí)用程序，用于簡(jiǎn)化和自動(dòng)化收集取證痕跡的過(guò)程，有助于識(shí)別 Android 和 iOS 設(shè)備的潛在危害。目前，研究人員將這個(gè)攻擊活動(dòng)稱為 "Triangulation 活動(dòng) "。

研究人員創(chuàng)建的移動(dòng)設(shè)備備份包含文件系統(tǒng)的部分副本，包括一些用戶數(shù)據(jù)和服務(wù)數(shù)據(jù)庫(kù)。文件、文件夾和數(shù)據(jù)庫(kù)記錄的時(shí)間戳允許研究人員重建設(shè)備上發(fā)生的事件。mvt-ios 實(shí)用程序?qū)⑹录呐判驎r(shí)間軸生成一個(gè)名為 "timeline.csv" 的文件，類似于傳統(tǒng)數(shù)字取證工具使用的超級(jí)時(shí)間軸。

(資料圖)

使用這個(gè)時(shí)間軸，研究人員能夠識(shí)別出被攻擊的特定固件，并重建了一般的攻擊順序：

1. 目標(biāo) iOS 設(shè)備通過(guò) iMessage 服務(wù)接收一條消息，其中包含一個(gè)包含漏洞的附件。

2. 在沒(méi)有任何用戶交互的情況下，該消息會(huì)觸發(fā)導(dǎo)致代碼執(zhí)行的漏洞。

3. 利用漏洞攻擊中的代碼從 C&C 服務(wù)器下載幾個(gè)后續(xù)階段，其中包括用于權(quán)限提升的其他利用漏洞攻擊；

4. 成功利用后，從 C&C 服務(wù)器下載最終有效負(fù)載，這是一個(gè)功能齊全的 APT 平臺(tái)。

5. 附件中的初始消息和漏洞攻擊痕跡會(huì)被自動(dòng)刪除。

惡意工具集不支持持久性，很可能是由于操作系統(tǒng)的限制。多個(gè)設(shè)備的時(shí)間軸表明，它們可能在重新啟動(dòng)后被重新攻擊。研究人員發(fā)現(xiàn)的最古老的攻擊痕跡發(fā)生在 2019 年。截至發(fā)文時(shí)，攻擊仍在進(jìn)行中，最新被攻擊的版本為 iOS 15.7。

對(duì)最終有效負(fù)載的分析尚未完成，該代碼以 root 權(quán)限運(yùn)行，實(shí)現(xiàn)了一組用于收集系統(tǒng)和用戶信息的命令，并且可以運(yùn)行從 C&C 服務(wù)器下載的作為插件模塊的任意代碼。

需要注意的是，盡管惡意軟件包括專門用于清除攻擊痕跡的代碼部分，但可以可靠地識(shí)別設(shè)備是否被攻擊。此外，如果通過(guò)從舊設(shè)備遷移用戶數(shù)據(jù)來(lái)設(shè)置新設(shè)備，那么該設(shè)備的 iTunes 備份將包含發(fā)生在這兩個(gè)設(shè)備上的攻擊痕跡，并帶有正確的時(shí)間戳。

所有潛在的目標(biāo)設(shè)備都必須使用 iTunes 或開(kāi)源實(shí)用程序 idevicebackup2（來(lái)自 libimobiledevice 包）進(jìn)行備份。后者作為最流行的 Linux 發(fā)行版的預(yù)構(gòu)建包提供，或者可以從 MacOS/Linux 的源代碼構(gòu)建。

要使用 idevicebackup2 創(chuàng)建備份，就要運(yùn)行以下命令：

idevicebackup2 backup --full $backup_directory

你可能需要多次輸入設(shè)備的安全碼，根據(jù)存儲(chǔ)的用戶數(shù)據(jù)量，該過(guò)程可能需要幾個(gè)小時(shí)。

安裝 MVT

備份準(zhǔn)備就緒后，就必須由移動(dòng)驗(yàn)證工具包進(jìn)行處理。如果系統(tǒng)中安裝了 Python 3，就要運(yùn)行以下命令：

pip install mvt

更全面的安裝手冊(cè)可以在 MVT 主頁(yè)上找到。

解密備份

如果設(shè)備所有者以前已為備份設(shè)置了加密，則備份副本將被加密。在這種情況下，備份副本必須在運(yùn)行檢查之前解密：

mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory

使用 MVT 分析備份

mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory 命令將通過(guò) MVT 運(yùn)行所有檢查，輸出目錄將包含幾個(gè) JSON 和 CSV 文件。使用本文中描述的方法時(shí)，你將需要名為 timeline.csv 的文件。

查看 timeline.csv 中的指標(biāo)

研究人員發(fā)現(xiàn)的唯一最可靠的指標(biāo)是提到名為 "BackupAgent" 的進(jìn)程的數(shù)據(jù)使用行。這是一個(gè)廢棄的二進(jìn)制文件，在正常使用設(shè)備期間該文件不應(yīng)出現(xiàn)在時(shí)間軸中。然而，需要注意的是，還有一個(gè)名為 "BackupAgent2" 的二進(jìn)制文件，這并不是一個(gè)攻擊指標(biāo)。

在許多情況下，BackupAgent 前面有一個(gè)進(jìn)程 "IMTransferAgent"，它下載的附件恰好是一個(gè)漏洞，這導(dǎo)致修改 "Library/SMS/Attachments" 中多個(gè)目錄的時(shí)間戳。然后刪除附件，只留下修改過(guò)的目錄，其中沒(méi)有實(shí)際的文件：

還有一些不太可靠的指標(biāo)，如果其中幾個(gè)指標(biāo)在幾分鐘內(nèi)發(fā)生，則可能被視為 IOC：

1. 修改一個(gè)或多個(gè)文件：com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist；

2. 服務(wù)的數(shù)據(jù)使用信息 com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security。

示例：

另一個(gè)示例：修改短信附件目錄（但沒(méi)有附件文件名），然后使用 com.apple.WebKit.WebContent 的數(shù)據(jù)，最后修改 com.apple.locationd.StatusBarIconManager.plist。所有事件都發(fā)生在 1-3 分鐘內(nèi)，這表明通過(guò) iMessage 附件成功實(shí)現(xiàn)了攻擊。另外一個(gè)攻擊指標(biāo)是用戶無(wú)法安裝 iOS 更新。研究人員發(fā)現(xiàn)了發(fā)現(xiàn)惡意代碼修改了一個(gè)名為 com.apple.softwareupdateservicesd.plist 的系統(tǒng)設(shè)置文件，他們觀察到更新嘗試以錯(cuò)誤消息 " 軟件更新失敗，下載 iOS 時(shí)出錯(cuò) " 結(jié)束。

漏洞利用期間的網(wǎng)絡(luò)活動(dòng)

在網(wǎng)絡(luò)活動(dòng)中，成功的利用嘗試可以通過(guò)幾個(gè) HTTPS 連接事件的順序來(lái)識(shí)別。這些可以在包含 DNS/TLS 主機(jī)信息的網(wǎng)絡(luò)流數(shù)據(jù)或 PCAP 轉(zhuǎn)儲(chǔ)中被發(fā)現(xiàn)：

1. 與 iMessage 服務(wù)進(jìn)行合法的網(wǎng)絡(luò)交互，通常使用域名 *.ess.apple.com；

2. 使用域名 icloud-content.com、content.icloud.com 下載 iMessage 附件；

3. 到 C&C 域的多個(gè)連接，通常是 2 個(gè)不同的域（下面是已知域的列表）。C&C 會(huì)話的典型網(wǎng)絡(luò)流數(shù)據(jù)將顯示具有大量傳出流量的網(wǎng)絡(luò)會(huì)話。

網(wǎng)絡(luò)漏洞利用順序，Wireshark 轉(zhuǎn)儲(chǔ)

iMessage 附件是通過(guò) HTTPS 加密和下載的，唯一可以使用的隱含指標(biāo)是下載的數(shù)據(jù)量，約為 242 Kb。

加密 iMessage 附件，Wireshark 轉(zhuǎn)儲(chǔ)

C&C 域

使用取證固件，可以識(shí)別漏洞利用和之后惡意階段使用的域名集。它們可用于檢查 DNS 日志中的歷史信息，并識(shí)別當(dāng)前運(yùn)行惡意軟件的設(shè)備：

addatamarket [ . ] netbackuprabbit [ . ] combusinessvideonews [ . ] comcloudsponcer [ . ] comdatamarketplace [ . ] netmobilegamerstats [ . ] comsnoweeanalytics [ . ] comtagclick-cdn [ . ] comtopographyupdates [ . ] comunlimitedteacup [ . ] comvirtuallaughing [ . ] comweb-trackers [ . ] comgrowthtransport [ . ] comanstv [ . ] netans7tv [ . ] net

盡管卡巴斯基已經(jīng)發(fā)現(xiàn)了這一漏洞，但關(guān)于該漏洞的最新修復(fù)和更新信息暫未得知。為了確保設(shè)備安全，建議用戶及時(shí)升級(jí)到最新的 iOS 系統(tǒng)版本，并遵循相關(guān)的安全建議和最佳實(shí)踐。同時(shí)，避免點(diǎn)擊來(lái)自不明來(lái)源的鏈接或點(diǎn)擊可疑信息。