iOS“远程越狱”间谍软件Pegasus技术分析

安全
研究人员通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”,然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。

上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。

这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日,分别收到的两条短信,短信中附有链接,短信称链接网站里包含囚犯在阿联酋遭受虐待的“新秘密”。实际上这位人权活动人士对这种包含链接的短信已经见怪不怪,因此他没有点击链接,而是立即把短信转发给了Lookout和公民实验室的研究人员。

Lookout公司的研究人员通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”,然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。Lookout公司把这款恶意软件命名为Pegasus,并对其技术细节进行了分析。

攻击过程

Pegasus的可怕之处在于,攻击过程基本不需要用户交互,用户所要做的仅仅是点击一个链接,接着,攻击者就可以静默地传送payload,然后远程越狱,安装间谍软件。用户唯一能感知到的情况就是点击链接之后,浏览器自动关闭了。间谍软件中包含恶意代码、进程和用于监控用户行为并进行反馈的app。这款间谍软件能够获取系统内置软件中的短信、通话记录、邮件、日志,还有下列app中的信息:

  • Gmail
  • Facetime
  • Facebook
  • Line
  • Mail.Ru
  • 日历
  • 微信
  • Surespot
  • Tango
  • WhatsApp
  • Viber
  • Skype
  • Telegram

实际上,iOS的安全机制并不允许应用相互监控,但是可以在越狱的设备上安装用户监控的hook。Pegasus就是利用了远程越狱和hook。Pegasus将它的动态库插入到设备里的针对正规进程中。这些动态库之后就会使用Cydia Mobile Substrate框架去hook应用。

简要来说,攻击共分为三个阶段:

第一阶段:传送并利用WebKit漏洞,通过HTML文件利用WebKit中的CVE-2016-4655漏洞。

第二阶段:越狱。在第一阶段中会根据设备(32/64位)下载相应的,经过加密混淆的包。每次下载的包都是用独一无二的key加密的。软件包内包含针对iOS内核两个漏洞(CVE-2016-4656和CVE-2016-4657)的exp还有一个用来下载解密第三阶段软件包的loader。

第三阶段:安装间谍软件。经过了第二阶段的越狱,第三阶段中,攻击者会选择需要监听的软件,把hook安装到应用中。另外,第三阶段还会检查设备之前有没有通过其他方式越狱过,如果有,则会移除之前越狱后开放的系统访问权限,如ssh。软件还有一个“故障保险“,如果检测到设备满足某些条件,软件就会自毁。

第三阶段中,间谍会部署一个test222.tar文件,这是一个tar包,包中包含各种实现各种目的的文件,如实现中间人攻击的根TLS证书、针对Viber、Whatsapp的嗅探库、专门用于通话录音的库等。

攻击影响的系统范围非常广泛,从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。

“Trident“漏洞详情

CVE-2016-4657: Safari Webkit内存损坏.

Safari Webkit中存在一个漏洞,能够执行任意代码。Pegasus会利用这个漏洞获取Safari浏览器内的代码执行权限。

CVE-2016-4655: 内核信息泄露KASLR保护绕过漏洞

在Pegasus进行越狱之前,它首先得确定内存中内核的位置。苹果系统中的KASLR保护就是把内核映射到不可预测的内存地址,以起到保护的作用。

但是在这个漏洞中,攻击者使用一个函数调用,这个函数会在返回值中返回没有经过混淆的内存地址。

CVE-2016-4656: 内核内存损坏(用于越狱)

最后这个漏洞用于越狱。漏洞基于内核中的内存损坏漏洞。针对iOS各版本的不同,exp也各有不同。这个漏洞非常复杂,因此,Lookout需要进一步研究,之后会发表更详细的报告。

越狱过程

  • 关闭内核安全保护,关闭代码签名机制
  • 重新挂载系统分区
  • 清理Safari缓存(为了清理痕迹)
  • 写入越狱有关文件(/sbin/mount_nfs)

第二阶段结束时,exp会移除/etc/nfs.conf,然后加载/sbin/mount_nfs。为了在重启之后依然留在系统中,Pegasus会把系统守护进程rtbuddyd替换成一个jsc二进制文件,并且创建一个链接到ascript。

软件分析

保护功能

Pegasus应该是Lookout调查过的最复杂精妙的间谍软件了。它采用非常新颖的方法安装、隐藏自己、驻足系统。一旦安装成功,这个软件就会采用各种方法来隐藏自己,防止被发现。它还会调用大量函数收集数据、截获短信和电话。

安装

第三阶段时,软件会运行一个lw-install二进制文件,这个文件包含很多关键架构,并且能在用户重启之后仍然驻足系统,良心的是其中还有一些保护功能,防止用户手机变砖。

lw-install首先会检查iOS版本,对于不同的版本,lw-install会执行不同的命令。

在iOS 9上,它会对/Library/LaunchDaemons中的plist文件执行“/sbin/launchctl load”,LaunchDaemons目录一般是空的,如果用户之前已经越狱,这里就会存放一些launchd plist文件,目的是让这些文件在重启之后能够运行。

JSC权限提升

Pegasus会通过jsc来做到驻足系统的目的。jsc是一个开发者工具,主要是用于让用户能够在浏览器环境外使用WebKit引擎执行js代码。

为了能够驻足系统,Pegasus会把rtbuddyd守护进程替换成一个jsc的副本(经过签名,能够运行代码)。设备重启后,rtbuddyd会加载–early-boot,这是com.apple.itunesstored.2.cstore文件的链接。com.apple.itunesstored.2.cstore文件跟CVE-2016-4655 exp的结构相似。它能够在系统每次重启之后重新加载shellcode,攻击内核。

Pegasus有很多保证私密的功能,他会经常检查手机有没有被其他软件越狱,甚至还包含一个复杂的自毁机制:

禁止更新

检测越狱

C&C服务器通信

Pegasus联系C&C服务器的手段非常隐蔽,如下图所示:

这看似是来自Google的密码重置短信,实际上含有来自C&C服务器的指令。Pegasus能够接收5种类型的指令,验证码的最后一位就是指令的ID,在本例中,指令ID就是9。

之所以使用短信,是因为Pegasus能够在没有网络的情况下接收指令。如果C2服务器下线了,这种使用短信的方法仍然能够让攻击者发送信息,告诉受害者手机新的C2服务器地址。

数据收集

手机中各个通信软件都有专门的处理模块能够窃取其中的信息,这些软件包括:

  • SMS/iMessage
  • 日历
  • 通讯录
  • Gmail
  • Viber
  • Facebook
  • WhatsApp
  • Telegram
  • Skype
  • Line
  • Kakao
  • 微信
  • Surespot
  • Imo.im
  • Mail.Ru
  • Tango
  • VK
  • Odnoklassnik

除此之外,Pegasus还会收集其他各种信息,其中包括:

  • GPS位置信息
  • 用户输入的密码
  • WiFi密码

进程注入

为了实时截获WhatsApp、Viber等应用的电话,Pegasus会使用一个库,动态注入到他们的进程空间。这是基于converter二进制文件:https://github.com/r-plus/substrate/blob/master/cynject.cpp

这个库会将进程PID作为参数,用Mach kernel API注入动态库到进程中。converter的用法如下:

  1. start (usage: %s [args...]) 

WhatsApp

对于各种通信应用,Pegasus都有特别的方式进行监听,对于部分应用,如Skype和Telegram,软件会直接从本地读取数据库;而对于WhatsApp,除了记录消息记录和通话记录,Pegasus还会加载一个库(libwacalls)这个库能够hook关键的WhatsApp函数,然后拦截各种类型的通信。

当有通话开始、中断、结束,或者有另一通电话时,这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。通知的ID是唯一的,长达56个字符,似乎是sha224哈希函数的输出值。Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知,然后libaudio.dylib就会进行处理,Pegasus从而就能对用户的WhatsApp通话进行录音。

Libaudio会把通话录音保存在如下目录:

  • micFileName – /private/var/tmp/cr/x.<call_id>.caf
  • spkFileName – /private/var/tmp/cr/t.<call_id>.caf
  • sentryFileName – /private/var/tmp/cr/z.<call_id>.caf

总结

手机在我们的日常生活中无处不在,因此对于攻击者来说也是非常重要的目标。

据报道NSO小组有几百名员工,年收入高达几百万美金,就是网络世界中的军火商。NSO也不是唯一一家出售这类间谍软件的公司,我们曾经见过的就有Hacking Team、Finfisher等。

因此,我们还是建议广大iOS用户,尽快升级到最新系统。

责任编辑:武晓燕 来源: freebuf
相关推荐

2022-01-10 17:35:26

Pegasus间谍软件

2022-07-28 11:47:22

网络安全间谍软件

2024-01-17 21:34:51

2016-09-02 12:34:52

2021-09-08 18:26:41

间谍软件木马NSO

2022-01-19 17:29:26

间谍软件黑客网络攻击

2020-11-08 14:31:01

工业间谍恶意软件网络攻击

2021-12-15 10:10:35

NSO间谍软件攻击

2022-02-16 13:08:30

间谍软件Pegasus

2015-10-09 10:35:08

2021-10-27 05:42:58

间谍软件恶意软件网络攻击

2021-12-04 15:01:38

间谍软件漏洞攻击

2015-06-17 09:54:30

2024-03-04 19:00:48

2022-02-20 09:40:01

Pegasus间谍软件

2011-09-19 13:03:02

2021-08-09 13:52:52

间谍软件飞马监视

2017-11-24 11:16:46

iOS越狱正版软件Cydia源

2018-07-23 15:50:43

iOS越狱苹果

2021-12-18 07:38:42

iOS 15苹果 程越狱漏洞
点赞
收藏

51CTO技术栈公众号