三角测量行动利用新型恶意软件瞄准 iOS 设备
在监控移动设备专用企业 Wi-Fi 网络的网络流量时,Securelist 的研究人员检测到源自多部 iOS 手机的可疑活动。由于内部检查现代 iOS 设备的固有局限性,研究人员选择创建相关设备的离线备份,并使用 Mobile Verification Toolkit 的 mvt-ios 工具对其进行分析。通过分析,他们发现了妥协的证据,从而确定了一场名为“三角测量行动”的活动。
通过检查移动设备备份(其中包含文件系统的部分副本,包括用户数据和服务数据库),研究人员能够利用文件和文件夹时间戳以及数据库记录来重建受感染事件的粗略时间表。设备。 mvt-ios 实用程序有助于创建名为“timeline.csv”的排序时间线文件,类似于传统数字取证工具中使用的超级时间线。
通过利用这个时间线,研究人员成功地查明了表明妥协的特定工件。这一发现推动了他们的研究向前发展,使他们能够概述感染的一般顺序如下:
- 目标 iOS 设备收到一条包含漏洞利用附件的 iMessage。
- 该消息会触发设备内的漏洞,导致代码在没有任何用户交互的情况下执行。
- 该漏洞继续从命令和控制 (C&C) 服务器下载几个后续阶段,包括权限提升漏洞。
- 成功利用后,将从 C&C 服务器下载功能齐全的高级持续威胁 (APT) 平台作为最终有效负载。
- 初始消息和漏洞利用附件被删除以掩盖踪迹。
由于操作系统的限制,恶意工具集缺乏持久性。因此,多个设备的时间线表明重启后有可能再次感染。最早发现的感染痕迹可以追溯到 2019 年。截至 2023 年 6 月,攻击仍在持续,目标是运行 iOS 15.7(撰写本文时的最新版本)的设备。
最终有效载荷的分析仍在进行中。该代码以 root 权限运行,实现一系列命令来收集系统和用户信息,并可以执行从 C&C 服务器作为插件模块获得的任意代码。
值得注意的是,尽管恶意软件包含专门用于擦除受损痕迹的特定代码段,但仍然可以可靠地确定设备是否已被入侵。此外,如果通过从旧设备迁移用户数据来设置新设备,则两台设备的 iTunes 备份都将包含具有准确时间戳的泄露痕迹。
为什么 iOS 手机恶意软件难以剖析?
与针对其他操作系统(例如 Android)的恶意软件相比,iOS 手机恶意软件通常被认为更难剖析。有几个原因:
封闭的生态系统: iOS 是一个封闭的生态系统,这意味着 Apple 严格控制其设备上的硬件、软件和应用程序分发。这种封闭性使得恶意软件在系统内立足和传播变得更具挑战性。
应用程序商店审核流程:应用程序商店有严格的审核流程,每个应用程序在可供下载之前都会经过筛选。此过程有助于防止恶意应用程序广泛分发。虽然这并不能完全消除恶意软件溜走的可能性,但它确实提供了额外的保护层。
沙盒: iOS 应用程序是沙盒的,这意味着它们在自己的受限环境中运行,并且对底层系统资源和数据的访问受到限制。这种隔离可以防止恶意软件轻松地在系统的不同部分传播。
代码签名和加密: iOS应用程序需要由Apple颁发的开发者证书进行签名。此代码签名可确保只有授权的开发人员才能创建和分发应用程序。此外,iOS 采用了强大的加密措施,使得分析和篡改应用程序的代码变得困难。
有限的用户权限: iOS 限制用户权限,防止应用程序在未经用户明确许可的情况下访问设备的敏感区域。此限制减少了恶意软件的潜在影响。
虽然 iOS 提供了多种安全功能,但值得注意的是,没有任何系统能够完全免受恶意软件的侵害。 iOS 恶意软件确实存在,但由于上述因素,与其他平台相比,它的流行程度往往较低。然而,随着技术的进步,恶意软件创建者不断适应并寻找利用漏洞的新方法,因此需要持续的安全措施和警惕。
