iOS 零日漏洞：卡巴斯基深入披露“三角测量”攻击

今年6月，三角测量卡巴斯基发布了一种工具 ，零露攻以检测苹果iPhone和其他iOS设备是日漏入披否感染了一种名为“三角测量”（Operation Triangulation）的恶意软件。报告称至少自2019年以来
 ，基深击该恶意软件已经在全球范围内感染了多台iOS设备。三角测量最近，零露攻卡巴斯基对这款恶意软件又有了些新发现
 。日漏入披

卡巴斯基研究人员在10月23日发布的基深击最新技术报告显示 ，该恶意软件至少四个不同的三角测量模块，用于记录麦克风 、零露攻提取 iCloud 钥匙串、免费模板日漏入披从各种应用程序使用的基深击 SQLite 数据库中窃取数据以及分析受害者位置。在部署之前有两个验证器阶段，三角测量即 JavaScript 验证器和二进制验证器，零露攻执行这些阶段是日漏入披为了确定目标设备是否与研究环境无关，从而确保所利用的零日漏洞和植入物不会被销毁 。

据介绍，攻击链的起点是受害者收到一个不可见的 iMessage 附件，云计算并触发一个零点击漏洞利用链 ，该漏洞链旨在秘密打开一个唯一的 URL ，其中包含 NaCl 加密库的模糊 JavaScript代码以及加密的有效负载 。

有效负载是 JavaScript 验证器，除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外，还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术 。

此步骤之后收集的信息将传输到远程服务器 ，源码库以便接收下一阶段恶意软件。在一系列未确定的步骤之后还交付了名为Mach-O 的二进制验证器
，该文件能够执行以下操作：

从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志，以清除可能被利用的痕迹删除从 36 个不同攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件证据获取设备和网络接口上运行的进程列表检查目标设备是否越狱开启个性化广告跟踪收集有关设备的信息（用户名、电话号码、香港云服务器IMEI 和 Apple ID）检索已安装应用程序的列表

研究人员表示
，这些操作的有趣之处在于
，验证器能同时针对 iOS 和 macOS，其结果会被加密并渗透到命令和控制 (C2) 服务器以获取恶意软件植入 。

该恶意软件还会定期从 /private/var/tmp 目录中提取文件，其中包含位置、iCloud 钥匙串 、SQL 相关数据和麦克风录制数据。麦克风录制模块的一个显著特点是当设备屏幕打开时能够暂停录制 ，表明攻击者有意掩人耳目。建站模板

此外
，位置监控模块经过精心策划 ，可使用 GSM 数据，如移动国家代码 (MCC)、移动网络代码 (MNC) 和位置区域代码 (LAC) ，实现在 GPS 数据不可用时测量受害者的位置。

研究人员称，三角测量恶意软件幕后人员对 iOS 内部结构进行了深入了解 ，在攻击过程中使用了未记录的私有 API，尽力避免了自己被发现的可能。

模板下载