三角測量行動利用新型惡意軟件瞄準 iOS 設備
在監控移動設備專用企業 Wi-Fi 網絡的網絡流量時,Securelist 的研究人員檢測到源自多部 iOS 手機的可疑活動。由於內部檢查現代 iOS 設備的固有局限性,研究人員選擇創建相關設備的離線備份,並使用 Mobile Verification Toolkit 的 mvt-ios 工具對其進行分析。通過分析,他們發現了妥協的證據,從而確定了一場名為“三角測量行動”的活動。
通過檢查移動設備備份(其中包含文件系統的部分副本,包括用戶數據和服務數據庫),研究人員能夠利用文件和文件夾時間戳以及數據庫記錄來重建受感染事件的粗略時間表。設備。 mvt-ios 實用程序有助於創建名為“timeline.csv”的排序時間線文件,類似於傳統數字取證工具中使用的超級時間線。
通過利用這個時間線,研究人員成功地查明了表明妥協的特定工件。這一發現推動了他們的研究向前發展,使他們能夠概述感染的一般順序如下:
- 目標 iOS 設備收到一條包含漏洞利用附件的 iMessage。
- 該消息會觸發設備內的漏洞,導致代碼在沒有任何用戶交互的情況下執行。
- 該漏洞繼續從命令和控制 (C&C) 服務器下載幾個後續階段,包括權限提升漏洞。
- 成功利用後,將從 C&C 服務器下載功能齊全的高級持續威脅 (APT) 平台作為最終有效負載。
- 初始消息和漏洞利用附件被刪除以掩蓋踪跡。
由於操作系統的限制,惡意工具集缺乏持久性。因此,多個設備的時間線表明重啟後有可能再次感染。最早發現的感染痕跡可以追溯到 2019 年。截至 2023 年 6 月,攻擊仍在持續,目標是運行 iOS 15.7(撰寫本文時的最新版本)的設備。
最終有效載荷的分析仍在進行中。該代碼以 root 權限運行,實現一系列命令來收集系統和用戶信息,並可以執行從 C&C 服務器作為插件模塊獲得的任意代碼。
值得注意的是,儘管惡意軟件包含專門用於擦除受損痕蹟的特定代碼段,但仍然可以可靠地確定設備是否已被入侵。此外,如果通過從舊設備遷移用戶數據來設置新設備,則兩台設備的 iTunes 備份都將包含具有準確時間戳的洩露痕跡。
為什麼 iOS 手機惡意軟件難以剖析?
與針對其他操作系統(例如 Android)的惡意軟件相比,iOS 手機惡意軟件通常被認為更難剖析。有幾個原因:
封閉的生態系統: iOS 是一個封閉的生態系統,這意味著 Apple 嚴格控制其設備上的硬件、軟件和應用程序分發。這種封閉性使得惡意軟件在系統內立足和傳播變得更具挑戰性。
應用程序商店審核流程:應用程序商店有嚴格的審核流程,每個應用程序在可供下載之前都會經過篩選。此過程有助於防止惡意應用程序廣泛分發。雖然這並不能完全消除惡意軟件溜走的可能性,但它確實提供了額外的保護層。
沙盒: iOS 應用程序是沙盒的,這意味著它們在自己的受限環境中運行,並且對底層系統資源和數據的訪問受到限制。這種隔離可以防止惡意軟件輕鬆地在系統的不同部分傳播。
代碼簽名和加密: iOS應用程序需要由Apple頒發的開發者證書進行簽名。此代碼簽名可確保只有授權的開發人員才能創建和分發應用程序。此外,iOS 採用了強大的加密措施,使得分析和篡改應用程序的代碼變得困難。
有限的用戶權限: iOS 限制用戶權限,防止應用程序在未經用戶明確許可的情況下訪問設備的敏感區域。此限制減少了惡意軟件的潛在影響。
雖然 iOS 提供了多種安全功能,但值得注意的是,沒有任何系統能夠完全免受惡意軟件的侵害。 iOS 惡意軟件確實存在,但由於上述因素,與其他平台相比,它的流行程度往往較低。然而,隨著技術的進步,惡意軟件創建者不斷適應並尋找利用漏洞的新方法,因此需要持續的安全措施和警惕。
