iPhone 存高危漏洞秒变木马

为什么80%的码农都做不了架构师>>   

公民实验室之前就了解到 iPhone 存在可远程越狱的 Zero Day 漏洞，只不过未曾拿到有效的样本。这次终于抓了只活的。为了能彻底弄清病毒原理，公民实验室联系了另一家安全公司 Lookout 共同研究。

他们找来一部同样运行 iOS 9.3.3 系统的 iPhone 5，在自带的浏览器中输入可疑链接，通过检测浏览器数据包，成功监测到注入原理。

他们发现整个注入过程分为三个步骤。当苹果内置的浏览器 Safari 打开此链接，会立即加载经过混淆了的 JavaScript 代码，这段代码首先会收集用户设备信息回传给远程服务器，这是第一步。

如果是 iPhone 5 及早期设备，JavaScript 代码会通过 XMLHttpRequest 的方式，从远程服务器下载 32 位二进制文件，如果是 iPhone 5S 及更新的设备，便下载 64 位二进制文件，这是第二步。

由于 Safari 浏览器采用的 WebKit 内核，攻击者找到了 WebKit 的内存破坏漏洞，通过这个漏洞，就能让 Javascript 下载的二进制文件得以执行。二进制文件会执行一个函数，该函数可以破解掉苹果的内核保护机制，返回内核运行的真实地址，解开隐藏的运行地址之后，就可以实现越狱，关闭软件签名等保护措施，让这台 iPhone 可以运行任意程序。

第三步便是间谍软件安装，在这个例子中，间谍软件被打包为 test111.tar，Safari 浏览器会下载此压缩包到 iPhone，然后执行安装。

至此，木马注入流程全部结束，攻击者现在就可以远程启动麦克风，打开摄像头，记录读取通话短信数据、记录行动轨迹，甚至监听邮箱、微信等 App 的内部数据。

研究员并没有善罢甘休就此止步，他们顺藤摸瓜，决心一步一步揭开幕后真凶。

在第二步，研究员侦测到 JavaScript 向远程服务器发出信标，同时截获收到的二进制文件，其中有一段密文，解码后发现是这么一段字符：

Your Google verification code is:5678429
http://gmail.com/=FEcCAA==&i=MTphYWxhYW4udHY6NDQzLDE6bWFub3Jhb25saW5lLm5ldDo0NDM=&s=zpvzPSYS674=

看起来就像 Google 的两步安全验证，但其实只是表面的伪装。攻击者 竟然连 Google 验证码的位数都弄错了。

继续解码下面的链接，发现 址 i 参数后面的字符真正的含义是：

1:aalaan.tv:443,1:manoraonline.net:443

研究员判断，aalaan.tv 和 manoraonline.net 这两个 址就是控制 iPhone 手机的幕后服务器。

2. 顺藤摸瓜摸清幕后黑手

在针对 Donaghy 的钓事件中，研究员确认了该木马的幕后服务器域名 icloudcacher.com，同时还找到域名登记邮箱 pn1g3p@sigaint.org，继续检索相同邮箱的关联域名，发现有以下三个：

asrarrarabiya.com
asrararabiya.co
asrararablya.com

这三个 站域名类似，并且都没有实质性内容，而是用内嵌的方式嵌入正规 站 asrararabiya.com 的内容，注意这个 站域名和上面三个有细微差别。其代码是这样的：

此时又发现一个新的 址 smser.net，研究员利用域名 IP 对应数据库，以及专用的 络检索工具如 Shodan、Censys 和 zmap，发现了 237 个存在关联的 IP，提取 SSL 证书还发现，Mansoor 所收到的 iPhone 漏洞钓鱼连接 址也在其中，包括 webadv.co、manoraonline.net，以及 aalaan.tv。

研究员对所有涉及的域名做了分析归类，发现攻击者会仿冒几乎所有类型的 站，其中包括新闻媒体、政府机构、航空公司等。

同时，实验室研究员还分析了这些仿冒域名所面向的国家，发现墨西哥最多，其次是阿联酋，以及其他中东和非洲国家，如土耳其，以色列，泰国，卡塔尔，肯尼亚，乌兹别克斯坦，莫桑比克，摩洛哥，也门，匈牙利，沙乌地阿拉伯，尼日利亚，巴林。

仿冒钓鱼 站的国家分析（源：citizenlab）

这些针对个人电脑，以及针对 iPhone 的钓鱼 站，其所有的 ip 之间都存在关联性，并且技术精湛而且手法相似度很高，研究员越来越怀疑，这幕后团队很有可能是同一伙人。

由于大部分关联域名都设置了隐私保护，IP 地址也可能是多人共用如 VPS，所以要找到真正的主谋并不容易。

研究员还是通过历史域名扫描数据入手，这是 Rapid7 的一个声呐项目，定期扫描全世界所有 IP 的 80 端口，使用 GET 方法请求根目录，再把返回的 文收集归档。

研究员做了归类分析，发现 237 个相关 IP 中，有 19 个 IP 返回的 文一模一样，而且和其他 IP 都不一样。

xefxbbxbf

rnrn

这 19 个 IP 中，就包含 manoraonline.net 指向的 IP，而这个域名指向的服务器正是 Mansoor 所收到木马的幕后控制主机。

研究人反向检索，按照相同 文检索 IP，发现在 2013 年到 2014 年间，有 83 个 IP 返回这段奇怪的 文，其中有个 IP 引起研究人员的注意，这个 IP 是 82.80.202.200，位于以色列。所返回的完整 文如下：

HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Tue, 04 Jun 2013 15:28:04 GMT
Accept-Ranges: bytes
ETag: “09a91b3861ce1:0”
Server: Microsoft-IIS/7.5
Date: Mon, 28 Oct 2013 21:23:12 GMT
Connection: close
Content-Length: 127
xefxbbxbf

继续反向检索到此 IP 所对应的域名为 qaintqa.com，这个域名从 2013 年到 2016 年 4 月一直指向这个 IP，并且域名没有设置隐私保护，查询得到的联系人邮箱为 lidorg@nsogroup，而 NSO Group 正是业内极为著名的以色列间谍软件开发商。

Registrant Street: Medinat Hayehudim 85
Registrant City: hertzliya
Registrant State/Province: central
Registrant Postal Code: 46766
Registrant Country: IL
Registrant Phone: 972542228649
Registrant Email: lidorg@nsogroup.com

研究人员还发现，82.80.202.204 和 54.251.49.214 这两个 IP 在 2014 年也返回同样的请求 文，而 82.80.202.204 在 2014 到 2015 年绑定的域名为 mail1.nsogroup.com，后者绑定的域名为 nsoqa.com。

_kPegasusProtocolAgentControlElement_iv
_kPegasusProtocolAgentControlElement_key
_kPegasusProtocolAgentControlElement_ciphertext
_kPegasusProtocolProtocolElement_iv
_kPegasusProtocolProtocolElement_key
_kPegasusProtocolProtocolElement_ciphertext
_kPegasusProtocolResponseElement_iv
_kPegasusProtocolResponseElement_key
_kPegasusProtocolResponseElement_ciphertext

他们还反编译了 iPhone 远程越狱木马在第三个步骤下载的压缩包，其中包含用来监听打电话的库文件 libimo.dylib，以及另外两个用于监听 WhatsApp 和 Viber 的库文件 libvbcalls.dylib 和 libwacalls.dylib，这些库文件都包含这么一串字符：_kPegasusProtocol，而中间的单词 Pegasus 正是 NSO Group 卖给多国情 机构的间谍软件。

种种迹象都表明，以色列情 软件公司 NSO Group 正是 iPhone 远程越狱木马的主谋，也是中东、非洲和南美洲地区多年来病毒木马横行的罪魁祸首。

8 月 11 日 Mansoor 把可疑链接 告给公民实验室的研究员，15 日，研究员弄清远程越狱木马原理并反馈给苹果公司，再到昨天苹果公司发布 iOS 9.3.5 系统更新，终于，这个横行近两年，影响十多个国家地区的远程越狱漏洞才得以被堵住。

详细技术细节（英文）：Lookout，citizenlab

文章知识点与官方知识档案匹配，可进一步学习相关知识MySQL入门技能树数据库组成表31345 人正在系统学习中 相关资源：KK录像机-瓜