专栏首页FreeBufiOS“远程越狱”间谍软件Pegasus技术分析

iOS“远程越狱”间谍软件Pegasus技术分析

上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。

这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日,分别收到的两条短信,短信中附有链接,短信称链接网站里包含囚犯在阿联酋遭受虐待的“新秘密”。

实际上这位人权活动人士对这种包含链接的短信已经见怪不怪,因此他没有点击链接,而是立即把短信转发给了Lookout和公民实验室的研究人员。

Lookout公司的研究人员通过研究发现,用户点击短信内的链接后,攻击者就会利用3个0day漏洞,对用户手机“远程越狱”。

然后安装间谍软件,随后就能对设备进行全面控制,还能获取设备中的数据,通过麦克风监听对话,跟踪即时通讯应用的对话内容等。Lookout公司把这款恶意软件命名为Pegasus,并对其技术细节进行了分析。

攻击过程

Pegasus的可怕之处在于,攻击过程基本不需要用户交互,用户所要做的仅仅是点击一个链接,接着,攻击者就可以静默地传送payload,然后远程越狱,安装间谍软件。

用户唯一能感知到的情况就是点击链接之后,浏览器自动关闭了。间谍软件中包含恶意代码、进程和用于监控用户行为并进行反馈的app。

这款间谍软件能够获取系统内置软件中的短信、通话记录、邮件、日志,还有下列app中的信息:

Gmail Facetime Facebook Line Mail.Ru 日历 微信 Surespot Tango WhatsApp Viber Skype

实际上,iOS的安全机制并不允许应用相互监控,但是可以在越狱的设备上安装用户监控的hook。Pegasus就是利用了远程越狱和hook。

Pegasus将它的动态库插入到设备里的针对正规进程中。这些动态库之后就会使用Cydia Mobile Substrate框架去hook应用。

简要来说,攻击共分为三个阶段:

第一阶段:传送并利用WebKit漏洞,通过HTML文件利用WebKit中的CVE-2016-4655漏洞。

第二阶段:越狱。在第一阶段中会根据设备(32/64位)下载相应的,经过加密混淆的包。每次下载的包都是用独一无二的key加密的。

软件包内包含针对iOS内核两个漏洞(CVE-2016-4656和CVE-2016-4657)的exp还有一个用来下载解密第三阶段软件包的loader。

第三阶段:安装间谍软件。经过了第二阶段的越狱,第三阶段中,攻击者会选择需要监听的软件,把hook安装到应用中。

另外,第三阶段还会检查设备之前有没有通过其他方式越狱过,如果有,则会移除之前越狱后开放的系统访问权限,如ssh。

软件还有一个“故障保险“,如果检测到设备满足某些条件,软件就会自毁。

第三阶段中,间谍会部署一个test222.tar文件,这是一个tar包,包中包含各种实现各种目的的文件,如实现中间人攻击的根TLS证书、针对Viber、Whatsapp的嗅探库、专门用于通话录音的库等。

攻击影响的系统范围非常广泛,从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。

“Trident“漏洞详情

CVE-2016-4657: Safari Webkit内存损坏。

Safari Webkit中存在一个漏洞,能够执行任意代码。Pegasus会利用这个漏洞获取Safari浏览器内的代码执行权限。

CVE-2016-4655: 内核信息泄露KASLR保护绕过漏洞

在Pegasus进行越狱之前,它首先得确定内存中内核的位置。苹果系统中的KASLR保护就是把内核映射到不可预测的内存地址,以起到保护的作用。

但是在这个漏洞中,攻击者使用一个函数调用,这个函数会在返回值中返回没有经过混淆的内存地址。

CVE-2016-4656: 内核内存损坏(用于越狱)

最后这个漏洞用于越狱。漏洞基于内核中的内存损坏漏洞。针对iOS各版本的不同,exp也各有不同。这个漏洞非常复杂,因此,Lookout需要进一步研究,之后会发表更详细的报告。

越狱过程

关闭内核安全保护,关闭代码签名机制 重新挂载系统分区 清理Safari缓存(为了清理痕迹) 写入越狱有关文件(/sbin/mount_nfs)

第二阶段结束时,exp会移除/etc/nfs.conf,然后加载/sbin/mount_nfs。为了在重启之后依然留在系统中,Pegasus会把系统守护进程rtbuddyd替换成一个jsc二进制文件,并且创建一个链接到ascript。

软件分析

保护功能

Pegasus应该是Lookout调查过的最复杂精妙的间谍软件了。它采用非常新颖的方法安装、隐藏自己、驻足系统。

一旦安装成功,这个软件就会采用各种方法来隐藏自己,防止被发现。它还会调用大量函数收集数据、截获短信和电话。

安装

第三阶段时,软件会运行一个lw-install二进制文件,这个文件包含很多关键架构,并且能在用户重启之后仍然驻足系统,良心的是其中还有一些保护功能,防止用户手机变砖。

lw-install首先会检查iOS版本,对于不同的版本,lw-install会执行不同的命令。

在iOS 9上,它会对/Library/LaunchDaemons中的plist文件执行“/sbin/launchctl load”,LaunchDaemons目录一般是空的,如果用户之前已经越狱,这里就会存放一些launchd plist文件,目的是让这些文件在重启之后能够运行。

JSC权限提升

Pegasus会通过jsc来做到驻足系统的目的。jsc是一个开发者工具,主要是用于让用户能够在浏览器环境外使用WebKit引擎执行js代码。

为了能够驻足系统,Pegasus会把rtbuddyd守护进程替换成一个jsc的副本(经过签名,能够运行代码)。设备重启后,rtbuddyd会加载–early-boot,这是com.apple.itunesstored.2.cstore文件的链接。

com.apple.itunesstored.2.cstore文件跟CVE-2016-4655 exp的结构相似。它能够在系统每次重启之后重新加载shellcode,攻击内核。

Pegasus有很多保证私密的功能,他会经常检查手机有没有被其他软件越狱,甚至还包含一个复杂的自毁机制:

禁止更新

检测越狱

C&C服务器通信

Pegasus联系C&C服务器的手段非常隐蔽,如下图所示:

这看似是来自Google的密码重置短信,实际上含有来自C&C服务器的指令。Pegasus能够接收5种类型的指令,验证码的最后一位就是指令的ID,在本例中,指令ID就是9。

之所以使用短信,是因为Pegasus能够在没有网络的情况下接收指令。

如果C2服务器下线了,这种使用短信的方法仍然能够让攻击者发送信息,告诉受害者手机新的C2服务器地址。

数据收集

手机中各个通信软件都有专门的处理模块能够窃取其中的信息,这些软件包括:

SMS/iMessage 日历 通讯录 Gmail Viber Facebook WhatsApp Skype Line Kakao 微信 Surespot Imo.im Mail.Ru Tango VK Odnoklassnik

除此之外,Pegasus还会收集其他各种信息,其中包括:

GPS位置信息 用户输入的密码 WiFi密码

进程注入

为了实时截获WhatsApp、Viber等应用的电话,Pegasus会使用一个库,动态注入到他们的进程空间。

这是基于converter二进制文件:https://github.com/r-plus/substrate/blob/master/cynject.cpp

这个库会将进程PID作为参数,用Mach kernel API注入动态库到进程中。converter的用法如下:

start (usage: %s   [args...])

WhatsApp

对于各种通信应用,Pegasus都有特别的方式进行监听,对于部分应用,如Skype,软件会直接从本地读取数据库。

而对于WhatsApp,除了记录消息记录和通话记录,Pegasus还会加载一个库(libwacalls)这个库能够hook关键的WhatsApp函数,然后拦截各种类型的通信。

当有通话开始、中断、结束,或者有另一通电话时,这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。

通知的ID是唯一的,长达56个字符,似乎是sha224哈希函数的输出值。

Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知,然后libaudio.dylib就会进行处理,Pegasus从而就能对用户的WhatsApp通话进行录音。

Libaudio会把通话录音保存在如下目录:

• micFileName – /private/var/tmp/cr/x.<call_id>.caf • spkFileName – /private/var/tmp/cr/t.<call_id>.caf • sentryFileName – /private/var/tmp/cr/z.<call_id>.caf

总结

手机在我们的日常生活中无处不在,因此对于攻击者来说也是非常重要的目标。

据报道NSO小组有几百名员工,年收入高达几百万美金,就是网络世界中的军火商。NSO也不是唯一一家出售这类间谍软件的公司,我们曾经见过的就有Hacking Team、Finfisher等。

因此,我们还是建议广大iOS用户,尽快升级到最新系统。

* 参考来源:Lookout,vulture编译,文章有修改,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:vulture

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-08-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 思科交换机的新漏洞恐引起新一轮全球扫描

    近期,思科修复了旗下明星产品——Cisco Small Business 220系列智能交换机上的三个高危漏洞。

    FB客服
  • Pegasus间谍套件内部原理及流程剖析

    事件介绍 这篇报道是关于最近发生的在全球范围内活跃的APT间谍软件的深度研究,Lookup团队已经捕获了样本,并且在一台全新的iOS设备上进行了深度研究。 NS...

    FB客服
  • 在Splunk上安装自定义应用反弹Shell的方法

    每次测试时我都会碰到Splunk。Splunk是一个用于搜索,分析和可视化数据的软件平台。通常,Splunk中都会包含着各种数据,其中一些可能是较为敏感的数据。...

    FB客服
  • 深入理解Android Build系统

    概述 Android Build 系统是用来编译 Android 系统、Android SDK 以及相关文档的一套框架。在Android系统中,Android ...

    xiangzhihong
  • 各类SQL日期时间处理方法

    使用的SQL多了不知道大家有没这样的困惑,SQL的语法大的方面是一致的,如SELECT,JOIN,GROUP BY等,但是在一些函数或某些特定功能处理上还是有很...

    大唐小生
  • 快讯 | 专家发现脏牛漏洞修复不完全

    研究人员发现,去年发现的脏牛漏洞(CVE-2016–5195)尚未被完全修复。 脏牛漏洞由竞争条件引发——Linux内核内存子系统在处理COW时存在问题。这个漏...

    FB客服
  • 一次 Netty 堆外内存泄露问题排查

    最近在做一个基于 websocket 的长连中间件,服务端使用实现了 socket.io 协议(基于websocket协议,提供长轮询降级能力) 的 netty...

    涤生
  • Java程序员最常用的6个代码对比工具有哪些?

    在Java程序开发的过程中,程序员会经常对源代码以及库文件进行代码对比,那么今天在这篇文章里我们给大家介绍六款程序员常用的代码比较工具,希望对大家会有帮助。

    Java架构师进阶技术
  • 代码对比工具,我就用这6个

    在程序开发的过程中,程序员会经常对源代码以及库文件进行代码对比,在这篇文章里我们向大家介绍六款程序员常用的代码比较工具

    叫我龙总
  • 代码对比工具,我就用这6个

    在程序开发的过程中,程序员会经常对源代码以及库文件进行代码对比,在这篇文章里我们向大家介绍六款程序员常用的代码比较工具

    Sam Gor

扫码关注云+社区

领取腾讯云代金券