上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。
这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日,分别收到的两条短信,短信中附有链接,短信称链接网站里包含囚犯在阿联酋遭受虐待的“新秘密”。实际上这位人权活动人士对这种包含链接的短信已经见怪不怪,因此他没有点击链接,而是立即把短信转发给了Lookout和公民实验室的研究人员。
Lookout公司的研究人员通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”,然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。Lookout公司把这款恶意软件命名为Pegasus,并对其技术细节进行了分析。
攻击过程
Pegasus的可怕之处在于,攻击过程基本不需要用户交互,用户所要做的仅仅是点击一个链接,接着,攻击者就可以静默地传送payload,然后远程越狱,安装间谍软件。用户唯一能感知到的情况就是点击链接之后,浏览器自动关闭了。间谍软件中包含恶意代码、进程和用于监控用户行为并进行反馈的app。这款间谍软件能够获取系统内置软件中的短信、通话记录、邮件、日志,还有下列app中的信息:
- Gmail
- Facetime
- Line
- Mail.Ru
- 日历
- 微信
- Surespot
- Tango
- Viber
- Skype
- Telegram
实际上,iOS的安全机制并不允许应用相互监控,但是可以在越狱的设备上安装用户监控的hook。Pegasus就是利用了远程越狱和hook。Pegasus将它的动态库插入到设备里的针对正规进程中。这些动态库之后就会使用Cydia Mobile Substrate框架去hook应用。
简要来说,攻击共分为三个阶段:
第一阶段:传送并利用WebKit漏洞,通过HTML文件利用WebKit中的CVE-2016-4655漏洞。
第二阶段:越狱。在第一阶段中会根据设备(32/64位)下载相应的,经过加密混淆的包。每次下载的包都是用独一无二的key加密的。软件包内包含针对iOS内核两个漏洞(CVE-2016-4656和CVE-2016-4657)的exp还有一个用来下载解密第三阶段软件包的loader。
第三阶段:安装间谍软件。经过了第二阶段的越狱,第三阶段中,攻击者会选择需要监听的软件,把hook安装到应用中。另外,第三阶段还会检查设备之前有没有通过其他方式越狱过,如果有,则会移除之前越狱后开放的系统访问权限,如ssh。软件还有一个“故障保险“,如果检测到设备满足某些条件,软件就会自毁。
第三阶段中,间谍会部署一个test222.tar文件,这是一个tar包,包中包含各种实现各种目的的文件,如实现中间人攻击的根TLS证书、针对Viber、Whatsapp的嗅探库、专门用于通话录音的库等。
攻击影响的系统范围非常广泛,从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。
“Trident“漏洞详情
CVE-2016-4657: Safari Webkit内存损坏.
Safari Webkit中存在一个漏洞,能够执行任意代码。Pegasus会利用这个漏洞获取Safari浏览器内的代码执行权限。
CVE-2016-4655: 内核信息泄露KASLR保护绕过漏洞
在Pegasus进行越狱之前,它首先得确定内存中内核的位置。苹果系统中的KASLR保护就是把内核映射到不可预测的内存地址,以起到保护的作用。
但是在这个漏洞中,攻击者使用一个函数调用,这个函数会在返回值中返回没有经过混淆的内存地址。
CVE-2016-4656: 内核内存损坏(用于越狱)
最后这个漏洞用于越狱。漏洞基于内核中的内存损坏漏洞。针对iOS各版本的不同,exp也各有不同。这个漏洞非常复杂,因此,Lookout需要进一步研究,之后会发表更详细的报告。
越狱过程
- 关闭内核安全保护,关闭代码签名机制
- 重新挂载系统分区
- 清理Safari缓存(为了清理痕迹)
- 写入越狱有关文件(/sbin/mount_nfs)
第二阶段结束时,exp会移除/etc/nfs.conf,然后加载/sbin/mount_nfs。为了在重启之后依然留在系统中,Pegasus会把系统守护进程rtbuddyd替换成一个jsc二进制文件,并且创建一个链接到ascript。
软件分析
保护功能
Pegasus应该是Lookout调查过的最复杂精妙的间谍软件了。它采用非常新颖的方法安装、隐藏自己、驻足系统。一旦安装成功,这个软件就会采用各种方法来隐藏自己,防止被发现。它还会调用大量函数收集数据、截获短信和电话。
安装
第三阶段时,软件会运行一个lw-install二进制文件,这个文件包含很多关键架构,并且能在用户重启之后仍然驻足系统,良心的是其中还有一些保护功能,防止用户手机变砖。
lw-install首先会检查iOS版本,对于不同的版本,lw-install会执行不同的命令。
在iOS 9上,它会对/Library/LaunchDaemons中的plist文件执行“/sbin/launchctl load”,LaunchDaemons目录一般是空的,如果用户之前已经越狱,这里就会存放一些launchd plist文件,目的是让这些文件在重启之后能够运行。
JSC权限提升
Pegasus会通过jsc来做到驻足系统的目的。jsc是一个开发者工具,主要是用于让用户能够在浏览器环境外使用WebKit引擎执行js代码。
为了能够驻足系统,Pegasus会把rtbuddyd守护进程替换成一个jsc的副本(经过签名,能够运行代码)。设备重启后,rtbuddyd会加载–early-boot,这是com.apple.itunesstored.2.cstore文件的链接。com.apple.itunesstored.2.cstore文件跟CVE-2016-4655 exp的结构相似。它能够在系统每次重启之后重新加载shellcode,攻击内核。
Pegasus有很多保证私密的功能,他会经常检查手机有没有被其他软件越狱,甚至还包含一个复杂的自毁机制:
禁止更新
检测越狱
C&C服务器通信
Pegasus联系C&C服务器的手段非常隐蔽,如下图所示:
这看似是来自Google的密码重置短信,实际上含有来自C&C服务器的指令。Pegasus能够接收5种类型的指令,验证码的最后一位就是指令的ID,在本例中,指令ID就是9。
之所以使用短信,是因为Pegasus能够在没有网络的情况下接收指令。如果C2服务器下线了,这种使用短信的方法仍然能够让攻击者发送信息,告诉受害者手机新的C2服务器地址。
数据收集
手机中各个通信软件都有专门的处理模块能够窃取其中的信息,这些软件包括:
- SMS/iMessage
- 日历
- 通讯录
- Gmail
- Viber
- Telegram
- Skype
- Line
- Kakao
- 微信
- Surespot
- Imo.im
- Mail.Ru
- Tango
- VK
- Odnoklassnik
除此之外,Pegasus还会收集其他各种信息,其中包括:
- GPS位置信息
- 用户输入的密码
- WiFi密码
进程注入
为了实时截获WhatsApp、Viber等应用的电话,Pegasus会使用一个库,动态注入到他们的进程空间。这是基于converter二进制文件:https://github.com/r-plus/substrate/blob/master/cynject.cpp
这个库会将进程PID作为参数,用Mach kernel API注入动态库到进程中。converter的用法如下:
- start (usage: %s [args...])
对于各种通信应用,Pegasus都有特别的方式进行监听,对于部分应用,如Skype和Telegram,软件会直接从本地读取数据库;而对于WhatsApp,除了记录消息记录和通话记录,Pegasus还会加载一个库(libwacalls)这个库能够hook关键的WhatsApp函数,然后拦截各种类型的通信。
当有通话开始、中断、结束,或者有另一通电话时,这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。通知的ID是唯一的,长达56个字符,似乎是sha224哈希函数的输出值。Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知,然后libaudio.dylib就会进行处理,Pegasus从而就能对用户的WhatsApp通话进行录音。
Libaudio会把通话录音保存在如下目录:
- micFileName – /private/var/tmp/cr/x.<call_id>.caf
- spkFileName – /private/var/tmp/cr/t.<call_id>.caf
- sentryFileName – /private/var/tmp/cr/z.<call_id>.caf
总结
手机在我们的日常生活中无处不在,因此对于攻击者来说也是非常重要的目标。
据报道NSO小组有几百名员工,年收入高达几百万美金,就是网络世界中的军火商。NSO也不是唯一一家出售这类间谍软件的公司,我们曾经见过的就有Hacking Team、Finfisher等。
因此,我们还是建议广大iOS用户,尽快升级到最新系统。