iOS“远程越狱”间谍软件Pegasus技术分析

上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。

这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日,分别收到的两条短信,短信中附有链接,短信称链接网站里包含囚犯在阿联酋遭受虐待的“新秘密”。

实际上这位人权活动人士对这种包含链接的短信已经见怪不怪,因此他没有点击链接,而是立即把短信转发给了Lookout和公民实验室的研究人员。

Lookout公司的研究人员通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”。

然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。Lookout公司把这款恶意软件命名为Pegasus,并对其技术细节进行了分析。

攻击过程

Pegasus的可怕之处在于,攻击过程基本不需要用户交互,用户所要做的仅仅是点击一个链接,接着,攻击者就可以静默地传送payload,然后远程越狱,安装间谍软件。

用户唯一能感知到的情况就是点击链接之后,浏览器自动关闭了。间谍软件中包含恶意代码、进程和用于监控用户行为并进行反馈的app。

这款间谍软件能够获取系统内置软件中的短信、通话记录、邮件、日志,还有下列app中的信息:

Gmail Facetime Facebook Line Mail.Ru 日历 微信 Surespot Tango WhatsApp Viber Skype Telegram

实际上,iOS的安全机制并不允许应用相互监控,但是可以在越狱的设备上安装用户监控的hook。Pegasus就是利用了远程越狱和hook。

Pegasus将它的动态库插入到设备里的针对正规进程中。这些动态库之后就会使用Cydia Mobile Substrate框架去hook应用。

简要来说,攻击共分为三个阶段:

第一阶段:传送并利用WebKit漏洞,通过HTML文件利用WebKit中的CVE-2016-4655漏洞。

第二阶段:越狱。在第一阶段中会根据设备(32/64位)下载相应的,经过加密混淆的包。每次下载的包都是用独一无二的key加密的。

软件包内包含针对iOS内核两个漏洞(CVE-2016-4656和CVE-2016-4657)的exp还有一个用来下载解密第三阶段软件包的loader。

第三阶段:安装间谍软件。经过了第二阶段的越狱,第三阶段中,攻击者会选择需要监听的软件,把hook安装到应用中。

另外,第三阶段还会检查设备之前有没有通过其他方式越狱过,如果有,则会移除之前越狱后开放的系统访问权限,如ssh。

软件还有一个“故障保险“,如果检测到设备满足某些条件,软件就会自毁。

第三阶段中,间谍会部署一个test222.tar文件,这是一个tar包,包中包含各种实现各种目的的文件,如实现中间人攻击的根TLS证书、针对Viber、Whatsapp的嗅探库、专门用于通话录音的库等。

攻击影响的系统范围非常广泛,从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。

“Trident“漏洞详情

CVE-2016-4657: Safari Webkit内存损坏。

Safari Webkit中存在一个漏洞,能够执行任意代码。Pegasus会利用这个漏洞获取Safari浏览器内的代码执行权限。

CVE-2016-4655: 内核信息泄露KASLR保护绕过漏洞

在Pegasus进行越狱之前,它首先得确定内存中内核的位置。苹果系统中的KASLR保护就是把内核映射到不可预测的内存地址,以起到保护的作用。

但是在这个漏洞中,攻击者使用一个函数调用,这个函数会在返回值中返回没有经过混淆的内存地址。

CVE-2016-4656: 内核内存损坏(用于越狱)

最后这个漏洞用于越狱。漏洞基于内核中的内存损坏漏洞。针对iOS各版本的不同,exp也各有不同。这个漏洞非常复杂,因此,Lookout需要进一步研究,之后会发表更详细的报告。

越狱过程

关闭内核安全保护,关闭代码签名机制 重新挂载系统分区 清理Safari缓存(为了清理痕迹) 写入越狱有关文件(/sbin/mount_nfs)

第二阶段结束时,exp会移除/etc/nfs.conf,然后加载/sbin/mount_nfs。为了在重启之后依然留在系统中,Pegasus会把系统守护进程rtbuddyd替换成一个jsc二进制文件,并且创建一个链接到ascript。

软件分析

保护功能

Pegasus应该是Lookout调查过的最复杂精妙的间谍软件了。它采用非常新颖的方法安装、隐藏自己、驻足系统。

一旦安装成功,这个软件就会采用各种方法来隐藏自己,防止被发现。它还会调用大量函数收集数据、截获短信和电话。

安装

第三阶段时,软件会运行一个lw-install二进制文件,这个文件包含很多关键架构,并且能在用户重启之后仍然驻足系统,良心的是其中还有一些保护功能,防止用户手机变砖。

lw-install首先会检查iOS版本,对于不同的版本,lw-install会执行不同的命令。

在iOS 9上,它会对/Library/LaunchDaemons中的plist文件执行“/sbin/launchctl load”,LaunchDaemons目录一般是空的,如果用户之前已经越狱,这里就会存放一些launchd plist文件,目的是让这些文件在重启之后能够运行。

JSC权限提升

Pegasus会通过jsc来做到驻足系统的目的。jsc是一个开发者工具,主要是用于让用户能够在浏览器环境外使用WebKit引擎执行js代码。

为了能够驻足系统,Pegasus会把rtbuddyd守护进程替换成一个jsc的副本(经过签名,能够运行代码)。设备重启后,rtbuddyd会加载–early-boot,这是com.apple.itunesstored.2.cstore文件的链接。

com.apple.itunesstored.2.cstore文件跟CVE-2016-4655 exp的结构相似。它能够在系统每次重启之后重新加载shellcode,攻击内核。

Pegasus有很多保证私密的功能,他会经常检查手机有没有被其他软件越狱,甚至还包含一个复杂的自毁机制:

禁止更新

检测越狱

C&C服务器通信

Pegasus联系C&C服务器的手段非常隐蔽,如下图所示:

这看似是来自Google的密码重置短信,实际上含有来自C&C服务器的指令。Pegasus能够接收5种类型的指令,验证码的最后一位就是指令的ID,在本例中,指令ID就是9。

之所以使用短信,是因为Pegasus能够在没有网络的情况下接收指令。

如果C2服务器下线了,这种使用短信的方法仍然能够让攻击者发送信息,告诉受害者手机新的C2服务器地址。

数据收集

手机中各个通信软件都有专门的处理模块能够窃取其中的信息,这些软件包括:

SMS/iMessage 日历 通讯录 Gmail Viber Facebook WhatsApp Telegram Skype Line Kakao 微信 Surespot Imo.im Mail.Ru Tango VK Odnoklassnik

除此之外,Pegasus还会收集其他各种信息,其中包括:

GPS位置信息 用户输入的密码 WiFi密码

进程注入

为了实时截获WhatsApp、Viber等应用的电话,Pegasus会使用一个库,动态注入到他们的进程空间。

这是基于converter二进制文件:https://github.com/r-plus/substrate/blob/master/cynject.cpp

这个库会将进程PID作为参数,用Mach kernel API注入动态库到进程中。converter的用法如下:

start (usage: %s   [args...])

WhatsApp

对于各种通信应用,Pegasus都有特别的方式进行监听,对于部分应用,如Skype和Telegram,软件会直接从本地读取数据库。

而对于WhatsApp,除了记录消息记录和通话记录,Pegasus还会加载一个库(libwacalls)这个库能够hook关键的WhatsApp函数,然后拦截各种类型的通信。

当有通话开始、中断、结束,或者有另一通电话时,这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。

通知的ID是唯一的,长达56个字符,似乎是sha224哈希函数的输出值。

Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知,然后libaudio.dylib就会进行处理,Pegasus从而就能对用户的WhatsApp通话进行录音。

Libaudio会把通话录音保存在如下目录:

• micFileName – /private/var/tmp/cr/x.<call_id>.caf • spkFileName – /private/var/tmp/cr/t.<call_id>.caf • sentryFileName – /private/var/tmp/cr/z.<call_id>.caf

总结

手机在我们的日常生活中无处不在,因此对于攻击者来说也是非常重要的目标。

据报道NSO小组有几百名员工,年收入高达几百万美金,就是网络世界中的军火商。NSO也不是唯一一家出售这类间谍软件的公司,我们曾经见过的就有Hacking Team、Finfisher等。

因此,我们还是建议广大iOS用户,尽快升级到最新系统。

* 参考来源:Lookout,vulture编译,文章有修改,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

最新XSS 0day漏洞来袭,影响最新版本IE浏览器(含POC)

安全研究人员近日发现了一个严重的XSS 0day漏洞,该漏洞可影响最新版本的IE浏览器,将用户暴露在被攻击和身份盗窃的危险之中。 漏洞信息 该漏洞能够影响完全修...

1996
来自专栏开源FPGA

Modelsim中使用TCL脚本编写do文件实现自动化仿真

         通常我们使用Modelsim进行仿真,是通过图形界面点点点来进行操作,殊不知Modelsim完美支持TCL脚本语言及批处理命令do文件。简单来...

3549
来自专栏coding

yii2实战之初见端倪PHP框架大PK安装yii2项目初始化配置服务小结

1405
来自专栏Android群英传

Siri 帮我开灯

1002
来自专栏刺客博客

博客主机搬迁遇到的问题记录

1704
来自专栏知晓程序

账号太多记不住?快用这款小程序,跟「忘记密码」说再见

从纸媒时代到移动信息时代,不论是小到衣食住行与日常社交,还是大到行车旅游与财会管理,几乎任何事的开始,似乎都无法避免输入一对匹配的账号和密码。

1346
来自专栏肖洒的博客

【python】【Djang】GPS/北斗串口数据实时定位百度地图

本项目为从串口读取GPS/北斗设备接收数据,进行处理后使用百度地图api实时显示定位。

8122
来自专栏小白课代表

软件分享 | AutoCAD 2019 安装教程。

1897
来自专栏张戈的专栏

重置多说配置后的问题,这是不让我从良的节奏啊(附禁用谷歌在线字体的方法)!

本想今天发文从良,金盆洗手,从此不再折腾博客,安心写文章的。结果,发现多说又不能同步服务器评论到本地了!特么真是怕什么来什么啊!想来这金盆暂时用不着了。。。 想...

4015
来自专栏张戈的专栏

实测Nginx服务器开启pagespeed加速效果

上周有一个站长问到我一个问题,问 fastcgi_cache 和 pagespeed 加速有没有冲突。略微想了下,2 个都是比较原生的主,应该不存在兼容问题。 ...

5369

扫码关注云+社区