天天動態:攻擊者正在利用 iMessage 發起一種名為 Triangulation 的攻擊活動

根據卡巴斯基發布的最新報告，有攻擊者利用 iMessage 來傳播惡意軟件，iOS 15.7 以及此前版本均受到影響。研究人員通過 mvt-ios（iOS 移動驗證工具包）分析問題設備之后，發現攻擊者可以通過 iMessage 發送信息，受害者在接收到信息之后，不需要任何用戶交互，就能觸發系統內漏洞，從而執行任意惡意代碼。

具體分析

卡巴斯基實驗室研究人員在監控專用于移動設備的 Wi-Fi 網絡的網絡流量時，注意到幾個基于 ios 的手機的可疑活動。由于無法從內部檢查現代 iOS 設備，研究人員創建了這些被攻擊設備的離線備份，使用移動驗證工具包的 mvt-ios 對其進行了檢查，并發現了攻擊的一些技術細節。移動驗證工具包 ( MVT ) 是一組實用程序，用于簡化和自動化收集取證痕跡的過程，有助于識別 Android 和 iOS 設備的潛在危害。目前，研究人員將這個攻擊活動稱為 "Triangulation 活動 "。

研究人員創建的移動設備備份包含文件系統的部分副本，包括一些用戶數據和服務數據庫。文件、文件夾和數據庫記錄的時間戳允許研究人員重建設備上發生的事件。mvt-ios 實用程序將事件的排序時間軸生成一個名為 "timeline.csv" 的文件，類似于傳統數字取證工具使用的超級時間軸。

(資料圖)

使用這個時間軸，研究人員能夠識別出被攻擊的特定固件，并重建了一般的攻擊順序：

1. 目標 iOS 設備通過 iMessage 服務接收一條消息，其中包含一個包含漏洞的附件。

2. 在沒有任何用戶交互的情況下，該消息會觸發導致代碼執行的漏洞。

3. 利用漏洞攻擊中的代碼從 C&C 服務器下載幾個后續階段，其中包括用于權限提升的其他利用漏洞攻擊；

4. 成功利用后，從 C&C 服務器下載最終有效負載，這是一個功能齊全的 APT 平臺。

5. 附件中的初始消息和漏洞攻擊痕跡會被自動刪除。

惡意工具集不支持持久性，很可能是由于操作系統的限制。多個設備的時間軸表明，它們可能在重新啟動后被重新攻擊。研究人員發現的最古老的攻擊痕跡發生在 2019 年。截至發文時，攻擊仍在進行中，最新被攻擊的版本為 iOS 15.7。

對最終有效負載的分析尚未完成，該代碼以 root 權限運行，實現了一組用于收集系統和用戶信息的命令，并且可以運行從 C&C 服務器下載的作為插件模塊的任意代碼。

需要注意的是，盡管惡意軟件包括專門用于清除攻擊痕跡的代碼部分，但可以可靠地識別設備是否被攻擊。此外，如果通過從舊設備遷移用戶數據來設置新設備，那么該設備的 iTunes 備份將包含發生在這兩個設備上的攻擊痕跡，并帶有正確的時間戳。

所有潛在的目標設備都必須使用 iTunes 或開源實用程序 idevicebackup2（來自 libimobiledevice 包）進行備份。后者作為最流行的 Linux 發行版的預構建包提供，或者可以從 MacOS/Linux 的源代碼構建。

要使用 idevicebackup2 創建備份，就要運行以下命令：

idevicebackup2 backup --full $backup_directory

你可能需要多次輸入設備的安全碼，根據存儲的用戶數據量，該過程可能需要幾個小時。

安裝 MVT

備份準備就緒后，就必須由移動驗證工具包進行處理。如果系統中安裝了 Python 3，就要運行以下命令：

pip install mvt

更全面的安裝手冊可以在 MVT 主頁上找到。

解密備份

如果設備所有者以前已為備份設置了加密，則備份副本將被加密。在這種情況下，備份副本必須在運行檢查之前解密：

mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory

使用 MVT 分析備份

mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory 命令將通過 MVT 運行所有檢查，輸出目錄將包含幾個 JSON 和 CSV 文件。使用本文中描述的方法時，你將需要名為 timeline.csv 的文件。

查看 timeline.csv 中的指標

研究人員發現的唯一最可靠的指標是提到名為 "BackupAgent" 的進程的數據使用行。這是一個廢棄的二進制文件，在正常使用設備期間該文件不應出現在時間軸中。然而，需要注意的是，還有一個名為 "BackupAgent2" 的二進制文件，這并不是一個攻擊指標。

在許多情況下，BackupAgent 前面有一個進程 "IMTransferAgent"，它下載的附件恰好是一個漏洞，這導致修改 "Library/SMS/Attachments" 中多個目錄的時間戳。然后刪除附件，只留下修改過的目錄，其中沒有實際的文件：

還有一些不太可靠的指標，如果其中幾個指標在幾分鐘內發生，則可能被視為 IOC：

1. 修改一個或多個文件：com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist；

2. 服務的數據使用信息 com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security。

示例：

另一個示例：修改短信附件目錄（但沒有附件文件名），然后使用 com.apple.WebKit.WebContent 的數據，最后修改 com.apple.locationd.StatusBarIconManager.plist。所有事件都發生在 1-3 分鐘內，這表明通過 iMessage 附件成功實現了攻擊。另外一個攻擊指標是用戶無法安裝 iOS 更新。研究人員發現了發現惡意代碼修改了一個名為 com.apple.softwareupdateservicesd.plist 的系統設置文件，他們觀察到更新嘗試以錯誤消息 " 軟件更新失敗，下載 iOS 時出錯 " 結束。

漏洞利用期間的網絡活動

在網絡活動中，成功的利用嘗試可以通過幾個 HTTPS 連接事件的順序來識別。這些可以在包含 DNS/TLS 主機信息的網絡流數據或 PCAP 轉儲中被發現：

1. 與 iMessage 服務進行合法的網絡交互，通常使用域名 *.ess.apple.com；

2. 使用域名 icloud-content.com、content.icloud.com 下載 iMessage 附件；

3. 到 C&C 域的多個連接，通常是 2 個不同的域（下面是已知域的列表）。C&C 會話的典型網絡流數據將顯示具有大量傳出流量的網絡會話。

網絡漏洞利用順序，Wireshark 轉儲

iMessage 附件是通過 HTTPS 加密和下載的，唯一可以使用的隱含指標是下載的數據量，約為 242 Kb。

加密 iMessage 附件，Wireshark 轉儲

C&C 域

使用取證固件，可以識別漏洞利用和之后惡意階段使用的域名集。它們可用于檢查 DNS 日志中的歷史信息，并識別當前運行惡意軟件的設備：

addatamarket [ . ] netbackuprabbit [ . ] combusinessvideonews [ . ] comcloudsponcer [ . ] comdatamarketplace [ . ] netmobilegamerstats [ . ] comsnoweeanalytics [ . ] comtagclick-cdn [ . ] comtopographyupdates [ . ] comunlimitedteacup [ . ] comvirtuallaughing [ . ] comweb-trackers [ . ] comgrowthtransport [ . ] comanstv [ . ] netans7tv [ . ] net

盡管卡巴斯基已經發現了這一漏洞，但關于該漏洞的最新修復和更新信息暫未得知。為了確保設備安全，建議用戶及時升級到最新的 iOS 系統版本，并遵循相關的安全建議和最佳實踐。同時，避免點擊來自不明來源的鏈接或點擊可疑信息。