By HireHackking in HACKER
· 3 views
重發按語:2023年6月1日,卡巴斯基發布報告《三角行动:iOS设备被以前未知的恶意软件攻击》 ,當時報告中僅進行了事件披露,沒有發布樣本分析。為讓全球用戶更深入了解A2PT攻擊組織的攻擊能力,安天CERT在6月9日披露了一份歷史積累分析成果,曝光了同一威脅來源方向的歷史樣本分析。與卡巴曝光的攻擊來自於針對手機iMessage服務投放不同,安天曝光的樣本來自於“量子”系統的投放,報告也因此命名為《“量子”系统击穿苹果手机》 。歷經數月的艱苦分析,卡巴於今日發布了新分析成果報告《三角行动:最后一个谜团》 。安天勘誤重發6月的報告,也提醒用戶應廣泛關注來自量子系統的空中投放。
//該報告首次發佈時《图 5‑3 量子系统可攻击场景图谱化分析》 有誤,已經勘正,特此致歉。
1 概述:覆蓋智能終端的A2PT樣本拼圖在過去二十多年的時間裡,全球關鍵信息基礎設施運營者、安全廠商、研究者所面臨的重大考驗是,如何應對以NSA等情報機構所發動的網絡攻擊活動,基於這種攻擊活動應用了難以想像的技術與資源,安天CERT將這種攻擊活動稱之為A2PT(高級的高級持續性威脅)攻擊,並發現其中多起攻擊都來自於NSA下屬的方程式組織。如何把A2PT攻擊活動中的攻擊樣本與過程揭示出來,成為了一場比馬拉松更艱苦的分析接力賽,這場接力至少已經完成了三次交接棒,第一階段從2010年的“震網”事件觸發,圍繞“震網”—“火焰”—“毒曲”—“高斯”系列樣本的攻擊活動、樣本同源性與關聯展開,直到2013年的斯諾登事件出現,才發現這些只是冰山一角;第二階段是從方程式組織(隸屬於NSA)被曝光開始,圍繞其硬盤固件攻擊能力、載荷、通信加密機制特點、“原子化”作業模式等展開,並逐漸證明“震網”等攻擊與方程式組織密切相關;第三階段則是圍繞“影子經紀人”所洩露的方程式組織的漏洞和攻擊載荷,全球業界展開更深入的拼接分析和復盤。中國網絡安全產業聯盟在4月11日所發布的報告《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》 [1]基本完整復現了這場漫長而艱難的鬥爭。
這場分析接力中兩項比較重要的工作:一項是揭示從“震網”到方程式的複雜線索關聯,這些信息可以參見卡巴斯基和安天相關的惡意代碼家族的同源性分析報告[2][3],也可以在《震网事件的九年再复盘与思考》 [4]看到相關的惡意代碼工程的關聯圖譜。另一項則是去驗證一個邏輯上存在著必然性,但又需要大量工作來佐證的判斷——即方程式組織的作業能力和惡意代碼樣本儲備是覆蓋全操作系統平台的。毫無疑問,國際安全廠商卡巴斯基為此做出了最大的貢獻,安天CERT也有部分獨創的工作,例如Linux、Solaris樣本的最早曝光是來自安天的報告。安天CERT在2016年的報告《从方程式到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》 [5]中,匯聚了安天和卡巴斯基等的成果,統計了Windows、Linux、Solaris、FreeBSD和Mac OS平台的樣本情況。但彼時方程式組織針對iOS 、Android等移動平台的樣本還沒有正式浮出水面,儘管在2013年斯諾登事件中所曝光的NSA ANT系列攻擊裝備中DROPOUTJEEP、TOTEGHOSTLY等代號給出了一些線索,但由於iOS平台取證的難度,和其攻擊作業的高度定向性,業內一直沒有樣本級別的發現和實證——但這並不意味著,它們會永遠沉寂於水面之下,持續的努力讓我們能夠在後續找到線索並進行了分析積累。
2023年6月1日,卡巴斯基[6]發布了《三角行动:iOS设备被以前未知的恶意软件攻击》 ,這讓我們決定對我們原有分析成果進行補充分析,並正式發布。由於卡巴斯基尚未公開有關事件樣本信息和分析結果,我們尚無法判定我們分析的這些歷史樣本是否是“三角行動”攻擊樣本的早期版本。但我們明確的判斷是:我們所分析的樣本,和卡巴斯基所曝光的攻擊同樣來自方程式組織。但與卡巴斯基所發現的樣本是依托iMessage的漏洞投放不同的是,本報告的相關攻擊樣本來自方程式組織基於“量子”(QUANTUM)系統在網絡側針對上網終端瀏覽器漏洞利用投放。
2 樣本分析相關樣本並不是常規的iOS APP應用安裝包,而是針對iOS底層的木馬,木馬分為執行載荷與後門程序,執行載荷是最初投放到系統的,它負責釋放後門程序和持久化。
2.1 執行載荷表2‑1木馬主體程序
原始文件名
regquerystr.exe
文件大小
307kb
文件格式
Mach-O executable
木馬主體程序在投遞過程中偽裝的文件名是regquerystr.exe,但並非是一個PE格式文件,實際文件格式是ARM架構的Mach-O 可執行程序,利用漏洞或通過沙盒逃逸完成後門程序的釋放和執行,其首先檢測內核版本和用戶權限。
圖2‑1 對內核版本信息和當前的用戶權限進行獲取和判斷
然後木馬程序進行後門程序的釋放,將其釋放到/tmp/mvld,並執行/bin/launchctl的load命令完成後門服務的運行。
圖2‑2 運行後門服務
圖2‑3 正在運行的後門服務
木馬主體採用了兩種不同的加密算法來加密其明文字符串信息。
算法1:
圖2‑4 字符串加密算法1
算法2:
圖2‑5 字符串加密算法2
其使用的加密方法比較簡單,配置數據只運用了異或和乘法運算,其使用的密鑰有0x47[7]和0x1D,網絡通訊部分則使用了標準的HTTPS加密協議。這種簡單的加密與方程式組織在PC平台樣本嚴格使用高強度加密算法並不一致,關於PC樣本加密算法和密鑰可以參見安天分析報告《方程式(EQUATION)部分组件中的加密技巧分析》 [8],但相對來看,可能是彼時的手機環境算力相對較低,同時沒有較為成熟的安全對抗機制,因此攻擊者並未使用強加密。
圖2‑6 解密後的關鍵字符串信息
表2‑2 Regquerystr木馬解密出的配置信息
配置名稱
內容
說明
binary
Gzip文件
壓縮後的第二階段載荷
binary_filename
/usr/sbin/mvld
第二階段載荷釋放名稱
init_script_filename
com.apple.mvld.plist
mimic_bin_file
notifyd
mimic_init_file
com.apple.locationd.plist
2.2 後門程序在投放載荷執行後,會釋放一個後門程序mvld。該木馬是Regquerystr釋放的子程序,主要用於收集設備信息,以及與遠程服務器通信,程序運行後會生成日誌文件/private/var/tmp/.swapfile.tmp,並刪除自身文件(/tmp/mvld),經分析,可將該木馬合併入方程式組織的DoubleFantasy[9]攻擊木馬武器譜系。
表2‑3 後門程序信息
原始文件名
Mvld
文件大小
117kb
文件格式
Mach-O executable
mvld後門程序路徑如下:
圖2‑7 後門程序路徑
mvld後門程序會訪問遠程控制服務器發送http請求,當C2域名無法訪問時直接訪問硬編碼IP:
圖2‑8 向遠程服務器發送請求
mvld後門程序配置了代理設置,採用neno客戶端http協議。
圖2‑9 代理設置
mvld後門程序通過getuid、getpwuid可以獲取設備帳號的用戶名、密碼、用戶組等信息。
圖2‑10 獲取設備信息
mvld後門程序同時也會讀取/etc/passwd文件,獲取登陸用戶信息。
圖2‑11 獲取登錄用戶信息
修改環境變量DYLD_INSERT_LIBRARIES:
圖2‑12 修改環境變量DYLD_INSERT_LIBRARIES內容
該樣本有13個指令代碼,功能與安天歷史曝光過的方程式Windows和Solaris木馬DoubleFantasy系列指令十分相似。
圖2‑13 指令代碼
樣本各個指令功能簡要描述如下:
表2‑3指令代碼及對應功能
16進制指令代碼
指令功能
0x42
流量包校驗
0x4B
讀取文件上傳
0x60
收集大量信息回傳(具體表2-4)
0x70
更新C2地址
0x75
修改心跳包間隔
0x76
更新配置文件
0x78
更新配置文件
0x79
更新配置文件
0x80
刪除文件
0x92
接收文件執行
0x94
更新配置文件
0x95
執行程序
0xA2
更新配置文件
樣本獲取配置環境等信息後進行回傳:
圖2‑14 獲取環境和配置信息回傳
獲取信息格式說明:
表2‑4獲取環境和配置信息格式說明
標號
說明
標號
說明
標號
說明
000
MAC地址
033
未知
042
未知
001
未知
034
未知
043
語言
002
IP地址
035
操作系統類型
044
未知
003
未知
036
未知
045
系統運行時間
004
代理設置信息
037
未知
046
未知
005
未知
038
時區
047
未知
030
使用者名稱
039
未知
048
樣本執行路徑
031
密碼
040
localtime
049
系統版本號
032
操作系統類型(iOS)
041
Time
mvld木馬內部解密出信息FAID,其中ace02468bdf13579[10]與之前曝光的NSA作業所需強制性的唯一標識代碼一致,該標識也存在於“影子經紀人”洩露的方程式武器庫中SecondDate武器中,種種信息都指向:該木馬來自美方情報機構NSA下屬的方程式組織。
表2‑5 mvld解密出的配置信息
配置名稱
內容
說明
CI
3600
心跳
CIAE
120
cop1
80
C2端口1
cop2
443
C2端口2
CSF
/private/var/tmp/.swapfile.tmp
FAID
***_ace02468bdf13579_***
ID
*****00171
lp1
**********[.]com
C2地址1
lp2
80[.]*[.]*[.]*
C2地址2
os1
www.google.com
測試網絡聯通
os2
www.yahoo.com
測試網絡聯通
os3
www.wikipedia.org
測試網絡聯通
os4
www.apple.com
測試網絡聯通
PV
12
SDE
/usr/gated/gated.deb
3 同源分析我們將該iOS木馬與方程式組織的DoubleFantasy木馬裝備序列進行對比分析,可以得出如下結果:在功能、行為、算法、信息收集和指令控制集合上幾乎相同;木馬使用方程式組織加密算法中最常使用的數值0x47[7]、收集終端信息格式與DoubleFantasy一致,控制指令代碼結構與DoubleFantasy基本一致。
3.1 配置數據解密算法、密鑰對比本報告樣本與其他方程式組織樣本在加密算法、密鑰上完全一致:
圖3‑1歷史其他平台方程式樣本(左)解密算法與iOS樣本(右)解密算法
3.2信息收集格式對比對比發現本報告樣本與其他方程式樣本在信息收集的數據格式基本一致:
圖3‑2歷史其他平台方程式樣本(左)信息收集與iOS樣本(右)信息收集對比
3.3控制指令代碼對比本報告樣本與其他方程式樣本在控制指令格式上基本一致:
圖3‑3歷史其他平台方程式樣本(左)指令代碼與iOS樣本(右)指令代碼對比
4 攻擊投放分析通常認為iOS平台的安全強度比Android平台更高,但iOS平臺本身依然有很多可攻擊入口。針對iOS平台曾出現過的攻擊方式包括,基於App Store投毒、基於iMessage和FaceTime的漏洞、基於Wi-Fi在流量側的攻擊等。卡巴斯基所發布的報告,聲明其所捕獲的攻擊入口為iMessage服務。 iMessage漏洞確實是一個常用的攻擊入口,加之其本身帶有電信碼號的指向性,適合發起指向明確目標的攻擊。但同時我們也要指出的是,關閉iMessage和Facetime等服務,依然不能有效對抗方程式組織的攻擊,這是因為:方程式組織所擁有專屬的“上帝視角”攻擊模式,是依托入侵和劫持各國運營商網絡設備、和其他的信道介入能力構建流量劫持體系,在擬攻擊目標人員上網過程中,基於“量子”(QUANTUM)系統插入攻擊流量,利用瀏覽器等上網軟件的漏洞,實現將惡意代碼投放到設備當中運行。
“量子”(QUANTUM)系統項目於2013年首次被斯諾登曝光,由美國國家安全局(NSA)發起,並與英國政府通信總部(GCHQ)和瑞典國防無線局(FRA)聯合執行,用於開發和運營承載實施網絡攻擊的工程體系和入侵工具集,以實現對網絡空間中網絡狀態的干預和控制,由NSA下屬的特別行動入侵行動辦公室(TAO)開發並負責使用。而我們所說的方程式組織則是網絡安全產業界基於分析工作中發現的裝備特點對TAO所賦予的“別名”。
“量子”(QUANTUM)系統的運行支點,是對網絡通訊基礎設施的關鍵路由和網關等設備的入侵和劫持,從而具備獲取分析和劫持攻擊目標上網過程的能力。其首先基於上網設備的相關IP、碼號、鏈路、身份賬號或其他標識依托X-KeyScore系統進行識別,看是是否複合攻擊目標定義,以及是否是已經攻擊成功設備,如果是尚未實施攻擊過攻擊的待攻擊目標,則進一步判斷是否存在可用漏洞,然後選用相應的工具執行秘密入侵。
我們以假定目標登錄雅虎賬戶為例,攻擊過程如下:
1、目標登錄Yahoo郵箱或網站;
2、特殊行動源(SSO: Special Source Operations)站點發現“量子”(QUANTUM)系統指定的雅虎分揀器篩選的數據包,會將其重定向到FOXACID服務器;
3、該服務器將FOXACID URL注入到選定的數據包並將其發回至目標計算機;
4、雅虎服務器接收到請求郵件內容的數據包;
5、FOXACID數據包先於雅虎數據包回到終端;
6、目標機器加載雅虎頁面,但在後台同時加載FOXACID URL,將目標重定向到FOXACID刺探服務器;
7、如果目標瀏覽器可用,且PSP(Personnel Security Program)未能檢測,則FOXACID將第一階段植入程序部署到目標;
8、“驗證器”後門(美方稱之為Validator,安全廠商命名為DoubleFantasy的木馬)成功安裝。
圖4‑1 NSA“量子”(QUANTUM)系統攻擊原理
在針對iOS平台的攻擊中,“量子”系統通過多個Safari瀏覽器的遠程代碼執行漏洞組合利用投放攻擊樣本。其中最早的攻擊行為在2013年或更早的時間就出現。其早期運用的漏洞可能包括CVE-2014-1349、CVE-2014-4466等,漏洞利用代碼則由“狐酸”FOXACID漏洞平台生成,“量子”系統所構造的流量可以實現先於正常網站返回流量抵達目標終端,觸發漏洞執行該木馬程序。在利用本報告樣本的攻擊過程中,攻擊載荷在量子系統在插入的網絡流量中偽裝成GIF頭部,命名為regquerystr.exe。
需要高度警惕的是,“量子”系統的攻擊是上帝視角的,具體表現為:
1. 其攻擊流量是由被入侵或控制的網絡路由設備發出,其甚至可能先於被訪問的網站感知到被攻擊方的網絡訪問。
2. 其攻擊對像是訪問網站和網絡資源的瀏覽器,或其他互聯網客戶端,因此其更難防禦,也無法用傳統收斂開放端口和暴露面的思路來防範。
3. 其插入的攻擊流量並不是和真實網站交互過程,且是加密的,因此即使數據包遭到了還原和留存,發現了其構造的域名,也不具備傳統IP/域名意義的溯源價值。
4. 在攻擊得手後,其相關角色和設備被標定為攻擊有效,後續不會再進行投放的動作,而攻擊失手後,則可能不再繼續攻擊,或未來不會採用同一漏洞進行攻擊。因此極難復現和驗證。
5. “量子”的能力並不僅可以部署於骨幹網被A2PT組織滲透或控制的網絡設備之中,也可以在入侵作業中,植入到政企機構網關和邊界設備上,包括相關漏洞利用工具可以部署到類似企業WEBMail 服務器中,使之有別於一般的持久化,而採取反复打入+內存木馬的方式,更好地對抗一般性的威脅獵殺。
“量子”的作業能力一方面來自於方程式組織對全球關鍵網絡通訊設備的攻擊控製程度,另一方面則來自其掌控的大量未公開漏洞資源和漏洞利用工具儲備。
5 A2PT組織的漏洞儲備、來源及資源運營和作業分析5.1 整體漏洞運營機制無論是攻擊中東SWIFT對信息基礎設施長驅直入[11],還是“量子”之手實現上帝視角的攻擊,方程式等A2PT作業組織都依賴極為豐富的漏洞儲備[12][13]。
美方對零日漏洞(0day)的管理和儲備有一套自身的管理機制。 2017年美國白宮發布《漏洞公平裁决政策和程序》 [14],為漏洞公平裁決程序(Vulnerabilities Equities Process,VEP)制定了更多的規則和透明度要求,包括目的、背景、範圍、參與主體、裁決過程和相關附件等內容,這個政策的主導機構就是NSA。 VEP是美國政府在處理安全漏洞問題時所引入的一項裁決機制,當發現漏洞時,是選擇將發現的漏洞向有關科技公司披露,告知其產品或服務中存在的網絡安全漏洞以便開發者及時進行修復,還是選擇將漏洞信息進行保留,以便今後用於網絡入
Recommended Comments