正文

从Pegasus到Predator:iOS商业间谍软件的演进

admin
admin V管理员 /0 评论 /95 阅读
0126
此篇文章发布距今已超过64天,您需要注意文章的内容或图片是否可用!

本文基于iVerify研究团队负责人在著名黑客会议38c3上演讲内容整理而成。

演讲人介绍

各位尊敬的来宾,请允许我介绍Matthias Freelingsdorf先生。他现任iVerify研究团队负责人,曾就职于德国联邦铁路,专门负责智能手机和平板电脑安全,并为T-Systems开发安全产品。他的硕士论文研究iOS漏洞利用和恶意软件检测,并在黑帽会议(Black Hat)、LabsCon等多个重要会议上发表研究成果。他是iOS恶意软件领域的权威专家。除专业工作外,他也热衷于篮球运动和桌游。

演讲范围界定

本次演讲将重点关注以下内容:

需要说明的是,本次演讲不会涉及:

  • StockAware、Spouseware等大众市场监控软件

  • 商业间谍软件的合法性或正当性讨论

  • 越狱技术


核心概念界定

商业间谍软件定义

在本演讲中,商业间谍软件特指:

  1. 企业面向国家机构提供的攻击能力

  2. 用于数据窃取的间谍软件植入物

  3. 通常使用零点击或一键点击漏洞链

  4. 经常使用零日漏洞感染最新版本iOS设备

  5. 针对个别目标实施攻击

这类软件也被称为"私营部门攻击者"或"雇佣军间谍软件"。

研究重要性

关注此议题的原因:

  1. 已有多起针对公民社会、新闻工作者或企业的滥用案例

  2. 过去八年中,公民社会领域已披露诸多滥用事件

  3. 在iOS系统上难以检测

  4. 涉及新颖或有趣的漏洞利用技术

  5. 虽然感染概率较低,但一旦感染将造成重大影响

  6. 已有受害者在感染后遭受人身伤害的案例(如Khashoggi事件)


与越狱技术的区别

越狱特点:

  • 目的:用户自主解放设备

  • 安装方式:手动

  • 目标客户:终端用户

  • 影响群体:用户本人

  • 系统变化:显著

  • 易于检测

商业间谍软件特点:

  • 使用零日漏洞

  • 采用零点击攻击

  • 面向政府机构

  • 针对特定目标

  • 隐蔽性强

  • 难以检测


历史案例分析

Pegasus第一代(2016)

  • 首个被公开分析的商业间谍软件案例

  • 发现源于可疑短信分析

  • 使用公开越狱技术

  • 系统痕迹明显,易于检测

Pegasus第二代(2021)

  • 代号"强制入侵"

  • 利用iMessage作为感染载体

  • 实现零点击攻击

  • 增强了痕迹清理能力

  • 使用特定目录进行启动

Pegasus第三代(2022-2023)

  • 改进清理机制

  • 伪装为系统进程

  • 采用BlastPass漏洞链

Hermit(2022)

  • 通过侧载应用感染

  • 与移动运营商合作

  • 使用公开和非公开漏洞

  • 首个使用应用程序作为感染载体的案例

三角行动(Operation Triangulation)

  • 使用iMessage作为感染载体

  • 通过网络和取证分析发现

  • 使用过时的系统进程名称(导致暴露)

  • 全面的痕迹清理机制

Predator演进

第一代(2021)

  • 一键点击攻击

  • 基于Python开发

  • 同时支持Android和iOS

  • 已实现基本的痕迹清理

第二代

  • 完全用Objective-C重写

  • 使用WebKit零点击攻击

  • 增强的验证和清理步骤

  • 具备关机通知响应机制


技术趋势分析

攻击方式演进

  • 从一键点击向零点击转变

  • 放弃持久性模块

  • 增强清理能力

  • 难以获取完整样本

检测指标(IOC)分析

  • 崩溃日志

  • 电子邮件痕迹

  • 文件痕迹

  • 网络痕迹

  • 进程痕迹


检测技术现状

iOS应用检测能力

  • 极其有限

  • 仅能检查已知文件路径

  • 可监控网络流量

  • 无法获取完整系统信息

MDM检测能力

  • 可获取已安装应用列表

  • 适合检测Hermit类型攻击

  • 功能受限

取证分析能力

  • 可通过备份获取更多信息

  • 需要用户交互

  • 分析耗时

  • 要求专业知识

系统诊断(SysDiagnose)

  • 可获取全面系统信息

  • 需要10-15分钟执行

  • 需要用户配合


BlastPass案例深入分析

攻击链分析

  • HomeKit进程崩溃(25次)

  • Messages Blaster服务崩溃(35次)

  • 使用PKPass文件传递

  • 包含NS表达式攻击载荷

技术特点

  • 多阶段解密机制

  • 利用XPC通信

  • 智能的密钥传递方案

  • 复杂的反检测机制


未来发展趋势

预期变化

  1. 攻击面转移:

  • 转向第三方应用

  • 扩展到其他苹果设备

  • 探索新的攻击载体

  • 攻击策略调整:

    • 多重漏洞利用

    • 目标差异化处理

    • 进一步提升隐蔽性

    2025年期望改进

    1. 苹果威胁通知改进:

    • 提供恶意软件详情

    • 包含IOC信息

    • 明确攻击状态

    • 提供时间框架

  • 检测能力提升:

    • 增加端点安全框架

    • 提供进程监控能力

    • 改进取证支持

  • 行业协作:

    • 加强防御方协作

    • 共享恶意软件样本

    • 统一分析技术

    • 共享IOC信息

  • 研究需求:

    • 商业间谍软件影响范围研究

    • iOS攻击面研究

    • 新设备取证技术研究

    • 系统数据库文档完善


    安全建议

    个人防护

    • 启用锁定模式

    • 定期重启设备

    • 保持系统更新

    • 定期进行取证分析

    机构防护

    • 建立设备管理制度

    • 实施持续监控

    • 加强用户培训

    • 保持威胁意识

    参考资料:

    https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios


    推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
    宙飒zhousa.om