• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

伯克利研究生是如何发现苹果设备超级间谍软件Pegasus的

安全事件 aqzt 2年前 (2016-12-20) 292次浏览 0个评论

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

今年夏天,作为 Citizens Lab 高级安全研究员的伯克利硕士 Bill Marczak,偶然发现了苹果超级间谍软件 Pegasus。美国《名利场》杂志以此为主线,采访事件相关人,揭露那些隐藏在人们生活暗处的间谍软件公司。

事情起因

Bill Marczak,一头棕色头发,留有标志性的胡须,伯克利大学计算机系硕士刚毕业,即将攻读博士学位。不像伯克利大多数研究生那样多话和夸夸其谈,他话不多,比较安静。Bill Marczak 专注于中东地区民主人士与专制政权之间的网络攻击研究,他是这个新兴网络战领域的优秀分析师。同时,Marczak 还是加拿大多伦多大学公民实验室(Citizens Lab)的高级研究员。

事情发生 8 月 10 日的晚上,BillMarczak 和女友在埃尔塞里托简陋的公寓里熬夜收看着《星际迷航》的电视剧重播。睡觉前,Marczak 像平常一样,习惯性的看了一眼手机短信,他突然全身兴奋地大叫起来,“哦,天哪!”,女朋友诧异地问道“怎么了?”,Marczak 说“我想我发现大事了!”。随后,他快速起身来到客厅打开电脑开始研究。

第二天早上,当女友起床时,Marczak 还在电脑旁。他确实发现了件“大事”:阿联酋的一位人权活动家朋友给他转发了一条短信,短信包含了一个网络链接,点击该链接后,将会向 iPhone 手机隐秘植入一个超强的间谍软件。他正尝试着从该间谍软件中逆向出一部分底层代码,但由于难度太大,所以他决定把短信内容转发给网络安全公司 Lookout 的工程师进行协助分析。Lookout 的办公室坐落于旧金山市区的摩天大楼内,从那里,可以看到金门大桥到奥克兰的全景。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

Lookout 把任务交到了移动安全专家 Andrew Blaich 和来自乌克兰的代码研究员 Max Bazaliy 手上,Blaich 急迫地问 Bazaliy:“你觉得这是什么东西?”,Bazaliy 一脸发懵,用他那厚重的乌克兰腔调回答到“还不清楚,但可以肯定的是,这非常严重。”

最终,两人用了将近一天的时间把这个恶意软件和其相关技术细节大致研究清楚。傍晚时分,Blaich 和 Bazaliy 还在盯着代码分析,“太不可思议了,它能实现麦克风、邮件、短信等所有手机数据监听窃取,这绝对是有组织有目的的间谍软件。”,Blaich 说道。而 Bazaliy 认为,这是他见过最厉害最完美的攻击代码。

Marczak 发现的恶意软件涉及 iOS 系统的 3 个 0-day 漏洞,很难发现且前所未见。iOS 用户点击短信内的链接后,攻击者就会利用这 3 个漏洞,对用户实现“远程越狱”,并安装持久化间谍软件。

曾几何时,网络战武器一直被强力国家机构用于复杂的网络战较量中,如 NSA、以色列和俄罗斯等,如 2013 年斯诺登曝光的大规模监控丑闻,让人震惊。虽然大部分普通公民认为,只要自己不是罪犯或间谍,类似监控事件似乎永远不可能发生在自己身上,但这仅只是个人认为而已。自斯诺登事件以来,甚至更早以前,网络安全专家就发现,少数隐秘的安全公司已经研发并向一些特殊机构高价销售其“政府级”间谍软件。

众所周知,iOS 远程越狱不但能实现远程对苹果设备的破解,还能对目标 iOS 系统进行远程控制并安装任意软件,对黑客来说,这简直就是完美梦想:能实时监控用户通信、监听麦克风、记录通话内容等。

在 Marczak 发现该恶意软件之前的两个星期,中国的盘古团队公布了针对 iOS 9.2 和 9.3.3 的非完美越狱,这是最近 5 个月内的首个公开的越狱方法。但是对于那些研究苹果设备的黑客来说,“远程越狱”才是最完美的破解目标。在早期的 iOS 系统中,jailbreakme 工具可以实现一些版本的远程越狱;2015 年 9 月,安全公司 Zerodium 以 100 万美元的悬赏实现了对 iOS 9.1 和 iOS 9.2 的远程越狱。

今年 8 月,在 Marczak 和 Lookout 的研究发现之后,苹果公司确认:在“野生的”网络攻击环境中存在一种真实的远程越狱方法。然而让人吃惊的是,这种远程越狱方法已经存在了多年。

Lookout 安全研究副总裁 Mike Murray 说,“这简直就是一个詹姆斯·邦德的故事,这是真实世界中网络军火商与个人异见者的典型案例,在这之前,网络武器还未被发现用来对付相关个体。Lookout 研究员 Seth Hardy 强调,这就像隐形轰炸机,你虽然知道它的存在,但是不知道什么时候它会对你进行轰炸。

0-day 漏洞

如今,最有价值的黑客武器就是 0-day 漏洞,对于黑客来说,对于 0-day 漏洞的保密最为重要,一旦其攻击代码被曝光,无论是微软、苹果等其它涉及漏洞的公司将会立即释放更新补丁,让攻击代码毫无用处。Seth Hardy 说,黑客要么对自己手上的 0-day 漏洞极为保密,要么把它们用来进行黑市交易。

2010 年,0-day 漏洞交易在黑市极为活跃,这一切还要从法国安全研究公司 VUPEN 说起,当时,VUPEN 对单个 0-day 漏洞的赏金和销售价格一度达到了 25 万美金,尽管其对外坚称的目的是为了使软件行业更安全,但许多人对此非常质疑,而像 HP 和微软都曾出钱向 VUPEN 购买其受影响产品的漏洞。此后,漏洞交易和漏洞众测业务的概念迅速在安全市场兴起。而对于许多白帽黑客来说,虽然其挖掘的一些漏洞赏金远远不及 VUPEN 那样高昂,但这也催生了一条即不违法但又能赚钱的途径,另外,有些黑客还可能因此从事利润丰厚的安全咨询工作。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

“VUPEN 对 0-day 漏洞的销售导致了黑客领域的一个分水岭。如果你手头有 0-day 漏洞,你会把它们卖个高价钱还是愿意保持沉默?显而易见,很多黑客会把它卖掉,只有极少数真正的黑帽黑客不会这样做”,Hardy 说。

在如今的黑市中,你不知道谁才是真正的漏洞卖家,但人们会普遍怀疑政府才会通过这种高科技手段对公民进行监控。美国公民自由联盟(ACLU)的技术专家 Chris Soghoian 说,“在 2011 到 2012 年期间,市面上流行大肆吹嘘 0-day 漏洞的价格,而一些使用 0-day 漏洞对民主人士进行监控的政府机构却不愿对此承认,这或许是 0-day 漏洞由明转暗的一个市场转折点。” 

2012 年,《福布斯》报道了一名身处泰国,在业内化名“The Grugq”的南非籍安全研究员,他在黑客朋友与政府买家间牵线搭桥,从每笔交易总额中收取 15%的佣金。他向记者透露,到 2012 年底的时候,他已经赚到了大约 100 万美元的佣金,出价最高的通常为美国政府部门或欧洲政府部门。媒体还刊登了一张他拍摄于曼谷某酒吧的照片,照片中,他的脚边放着一个装满现金的小背包,显然是某个卖家付给他的佣金。The Grugq 在 Twitter 上被称为“网络军火商”。Soghoian 说,这或许是一个里程碑,因为在此之前还没有对黑客军火商的相关公开报道,这让这个行业备受关注。同时,也为黑客向政府贩卖漏洞工具的社会认可起到了一些宣传作用。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的
>

政府间谍

Bill Marczak 刚上研究生时的方向是大数据分析,对网络安全行业了解甚少。Marczak 出生于纽约,由于父亲从事国际金融行业,全家曾从纽约辗转香港,再到后来的巴林,在那里,Marczak 度过了自己的高中时代。2010 年,在阿拉伯之春的浪潮下,巴林成为了一个暴动地区,在伯克利上学的 Marczak 通过互联网了解到了政府对民众的暴力镇压,于是,他开始以写博客的方式来参与了这场民主运动。2012 年,他与另外两名人权活动家成立了名为“巴林观察”的网络组织。

转变发生在 2012 年 5 月,Marczak 在巴林的同事都收到了一封来自不明身份记者的可疑邮件,Marczak 和来自 Citizen Lab 的安全研究者 Morgan Marquis-Boire 共同对这封邮件进行了分析。分析发现,邮件附件的 word 文档会向受害者电脑或手机植入秘密的间谍监控程序,经过对可疑程序的深入挖掘研究,他们发现了一个在程序代码中被反复引用的单词“FinSpy”。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

很快,他们便发现 FinSpy 间谍程序的另外一个名称“FinFisher”,一款由英国安全监控公司Gamma Group开发销售的一体化间谍软件,Gamma Group 声称 FinSpy 是合法监控工具,主要用于政府犯罪和间谍执法工作。而据去年某些民主人士曝料的文件显示,埃及政府曾出价 353,000 美元采购了 FinFisher 软件监控异议人士,这些发现表明,Gamma 的软件产品不只针对特定的政府执法,还被用到针对异见者的监控活动中。Marczak 和 Citizen Lab 最终研究发现,全球 25 个国家都发现了 FinSpy 感染的踪迹,而 Gamma 公司却矢口否认,声称那些软件只是被窃取的程序副本。

同时,安全公司 Rapid7 的研究员 Claudio Guarnieri 通过对 FinFisher 的代码进行分析后发现,FinFisher 的 C&C 服务器 IP 地址只要被执行 ping 命令之后,都会附带一个奇怪的回应:Hallo Steffi,于是,Guarnieri 便以此为出发点开发了一个程序探测互联网上作此回应的服务器,数周后,Guarnieri 发现在 10 多个国家都存在此类服务器,其中中东地区国家尤为广泛,包括卡塔尔、埃塞俄比亚和阿联酋等。

然而,有很多安全公司和 Gamma 一样,在我们看不见的阴暗处。2012 年 7 月,就在 Citizen Lab 发布对 FinSpy 的报告之后几天,摩洛哥维权组织 Mamfakinch 就发文声称,他们收到了一封可疑的钓鱼邮件,该邮件与阿联酋民主人士 Ahmed Mansoor 曾经收到的钓鱼邮件高度相似,都会向电脑植入键盘和应用程序监控的间谍程序。

俄罗斯杀毒软件公司 Dr Web 经过分析,确认 Mamfakinch 和 Mansoor 的电脑设备上被植入了意大利 Hacking Team 公司的间谍软件。与 Gamma 不同,Hacking Team 由两个意大利程序员于 2003 年成立,在安全圈小有名气,可以算是第一批销售商业黑客工具和监控产品的安全公司,它的早期软件曾被米兰警方大规模用于民众监控。Hacking Team 在美国在内的三个国家都设有办事处,随着其不断的市场拓展,已经成为全球知名的网络武器经销商。Hacking Team 的客户包括各国执法机构,以及联合国武器禁运(NATO)清单上的国家,包括摩洛哥、阿联酋政府等。

比较讽刺的是,后来名为“Phineas Fisher”的黑客在网上泄露了 Hacking Team 400 多 G 的内部文件,这些文件中曝光的邮件记录和合同发票显示,Hacking Team 的客户包括摩洛哥、马来西亚、沙特阿拉伯、乌干达、埃及、阿曼、土耳其、乌兹别克斯坦、尼日利亚、埃塞俄比亚、苏丹、哈萨克斯坦、阿塞拜疆、巴林、阿尔巴尼亚等大部分中东国家,以及三个美国执法机构:FBI、DEA、DoD。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

Chris Soghoian 说,Hacking Team 被黑事件影响很大,因为在这之前研究人员只能通过 FinFisher 的 C&C 服务器来作出间接判断,并没有其它确凿证据。尽管曝光事件发生后,Hacking Team 的业务量有所减少,但对整个间谍软件和监控行业的影响不是太大,其它秘密安全公司一直在不断扩展业务,像 Gamma 的全球市值已经超过 50 亿美元。

Hacking Team 数据泄露事件之后一个月,由 VUPEN 共同投资人成立的 Zerodium 公司对外悬赏 100 美金征集 iOS 远程越狱工具。在 Zerodium 公布赏金之后的几天,中东之眼的伦敦人权作者 Rori Donaghy 收到了一封钓鱼邮件,他把邮件转发给了 Marczak。邮件大致内容为邀请参加名为“斗争权利”(the Right to Fight)的论坛会议,在其中包含了一个下载执行 word 文档的网页链接,点击链接执行 word 文档后,将会向电脑隐秘植入间谍软件。Marczak 经过分析确认,很多波斯湾地区的民主人士都受到了同样钓鱼邮件的攻击,之后,Marczak 和 Citizen Lab 把这波攻击命名为:Stealth Falcon。

Marczak 分析发现邮件发送服务器涉及数百个 IP 地址,每个 IP 都具有包含虚假注册信息的特定域名。另外,这些域名中有三个假冒阿拉伯新闻网站,并且都包含有“SMSer.net”字段,Marczak 通过域名比对发现有 120 多个移动公司域名与此类似,大部分以色列街道名称与这些域名字段相关。

Marczak 回忆说,那时他高度怀疑是 NSO Group,但没有明确证据。作为一家以色列间谍软件监控公司,NSO Group 没有官方网站,非常低调,曾把其公司的某项控股权以 1 亿两千万美元卖给旧金山某私募基金。第二年初,在 Citizen Lab 实验室,他发现 Stealth Falcon 前后从 67 个不同服务器上进行部署攻击,有 400 多名全球受害者,在 24 名阿联酋受害者中,至少有三人在遭到间谍软件攻击开始不久后被捕;另一人被判因侮辱阿联酋统治者罪名。但是在 Citizen Lab 对外发布的报告中,并没有提到 NSO Group。

而对 Marczak 本人来说,事情还没完。

继续调查

8 月 10 日,Marczak 在伯克利收到的邮件来自阿联酋异见者 Ahmed Mansoor,他被控侮辱当局政府,并因此受到监禁殴打和没收护照,他的车莫名其妙被偷,银行账户被置空。

非常让 Marczak 兴奋的是,Mansoor 转发给他的钓鱼邮件中包含了一个域名“sms.webadv.co”,他突然想起来这与 Stealth Falcon 攻击事件中他怀疑是 NSO 公司,用来进行邮件发送和控制回连的域名高度相似。在客厅里,Marczak 用程序把电脑模拟成手机客户端,对钓鱼邮件植入的间谍软件进行监测。

当 Marczak 点击了钓鱼邮件链接之后,他的 Safari 浏览器出现了闪退现象,在此监测过程中,他发现了间谍软件成功利用 Safari 浏览器实施了第一阶段感染行为。由于 Marczak 使用 Ios 9.3.3 进行模拟测试,而在 Ios 9.3.4 中,Safari 没有任何更新,Marczak 敏锐地意识到这是一个 0-day 漏洞。当深入研究植入间谍软件释放的相关 javascript 时,大部分都是加密代码,非常难懂,令人费解,在 Citizen Lab 协调下,Marczak 找到了手机安全架构的顶级供应商 LookOut。

LookOut 于 2007 年由三位南加洲大学的安全成立,JohnHering,Kevin Mahaffey 和 JamesBurgess。成立初期,他们曾发现了 Nokia 3610 手机蓝牙连接无线耳机的一个漏洞,漏洞对数百万部手机造成影响,当他们告知 Nokia 时,Nokia 却以蓝牙通信超出 30 英尺范围内将受限制为由,拒绝对漏洞作出修补。出于不服,他们开发了一款名为“BlueSniper rifle”的蓝牙范围扩大嗅探器,并把它带到了 2005 年奥斯卡颁奖礼现场,结合漏洞,他们轻易获取到了很多娱乐圈名流的个人手机信息。最终,Nokia 总算屈服了。

LookOut 的 Seth Hardy 回忆道,“Marczak 在一大早打电话给我,告诉我通过这个链接结合 0-day 漏洞可以向 iPhone 植入间谍程序,那时候,我想,这非常罕见,出大事了。”

Hardy 首先想到了 LookOut 29 岁,来自基辅理工学院的硕士生 Max Bazaliy,他是公司唯一一个对越狱有深入研究的人。于是 Max Bazaliy 和 Andrew Blaich 共同对 Marczak 发来的捕获代码展开研究。电脑屏幕上,1400 多行彩色代码像是一大团沙拉酱,让人头晕。LookOut 安全研究负责人 Mike Murray 说,“当时事态非常严重,但我们不确定真正的原因,最终,我们选择按最坏的场景-远程越狱来分析”。

代码分析

许多间谍软件分三个阶段执行恶意行为,第一阶段为感染渗透目标用户设备,第二阶段为执行监控准备,最后,通过远程控制服务器下载安装间谍程序包,一些分发和配置行为也在此阶段完成。LookOut 工程师最后分析认为,间谍程序使用了 Safari 的 0-day 漏洞。Mike Murray 说,通过此 0-day 漏洞,可以攻击渗透世界上任何一部苹果的设备。

Marczak 发现的代码被完全加密混淆,Blaich 和 Bazaliy 花了几个小时才把间谍程序的各个组件识别出来,之后,找到了程序执行监控行为的入口,但是,由于 Marczak 在间谍程序还未被完全植入之后就切断了网络连接,更糟糕的是,Marczak 点击的钓鱼链接还是“一次性使用”的链接。

但是,Blaich 和 Bazaliy 认为可以通过程序第一阶段代码中的 URL 信息追溯到远程 C&C 服务器,但当他们把疑似 C&C 地址分析出来时,却发现 IP 被限制访问,最终他们通过 VPN 方式连接上了这个 C&C 地址。

Bazaliy 回忆到,“还有一个问题就是,它看起来是一种加密的越狱方式,但我们当时完全不知道它的解密算法”。

他们花了几个小时寻找解密方法,最终意识到了真正的答案:程序的第一阶段行为需要知道解密方法,才能实施第二阶段植入!于是,他们在第一阶段的大量代码中慢慢拼凑出了完整的解密方法。

Mike Murray 解释说,iPhone 和其它系统程序都会通过“随机化”应用来保护内核,黑客越狱需要准确捕捉到其内核地址,而程序第二阶段的代码行为总是在寻找内核程序,原因只有一个,它想尝试进行越狱。

令他们吃惊的是,该间谍程序的子程序中还包含了另外一个 0-day 漏洞,两个 0-day 漏洞同时出现在一个可疑程序中,这非常罕见。虽然 Bazaliy 断定这是远程越狱,但因为没有第三阶段代码,而点击链接又是失效状态,所以不能明确证明,分析一度陷入停滞状态。

意外转机

意外的是,没过几天,Marczak 就又从 Mansoor 那里收到了另外一封类似的转发邮件,令人难以置信的是,其中又包含了一个 sms.webadv.co 的网页链接。Marczak 觉得阿联酋政府如此盲目自大,非常明目张胆。

这一次,Marczak 不想错过任何机会。他意识到 Mansour 使用的是运行 iOS 9.3.3 的 iPhone 5,如果使用其它版本的系统来监测间谍程序,可能会出现异常,之后,Marczak 便开始在伯克利实验室寻找 iOS9.3.3 的 iPhone 手机,最终,一个同事把他女朋友搁置的专门用来听音乐的 iPhone5 手机拿给了 Marczak。

第二天早上,Marczak 在实验室里搭建了一个无线网络,把清除数据的手机和笔记本电脑接入网络,为了便于观察,他把手机系统网络运行流量监测窗口转换到了笔记本电脑,并用 VPN 把网络设置为阿联酋地区的 IP 地址。Marczak 屏住呼吸把钓鱼邮件链接粘贴到了手机的 Safari 浏览器中,点击运行,短暂的 10 秒之后,Safari 出现了闪退,Marczak 高兴地大叫起来。然而,他意识到,此时可能一个恶意程序已经被植入到了手机中,下一步,恶意程序可能会对手机实行“远程越狱”操作,这对普通黑客来说,从来没人亲眼见过。

突然,几行对手机进行入侵的彩色代码出现在了电脑屏幕上,Marczak 回忆到,“当时手机没有一点异常反应,如果第一阶段是执行 exploit 的话,这一阶段应该是突破内核保护,实现远程越狱,真正植入监控程序的过程”,一切没有出乎竟料,当所有攻击代码执行完毕后,网络监测窗口显示,手机正试图与一个阿联酋政府控制的服务器 IP 进行联系,但其网络连接似乎并没有成功。Marczak 只好把此次捕获的相关代码发送给了 LookOut 公司共同研究,随后,他们在逆向过程中发现,间谍软件开发者在攻击代码中暴露了很多“Pegasus Protocol”字符串,他们追踪到了试图与手机通讯的服务器 IP 地址,并匹配到了 Stealth Falcon 的基础设施中也包含这一服务器和 IP 地址,更巧的是,他们发现一位 NSO 员工注册的域名也指向同一 IP 地址。所有迹象都明显指向以色列的间谍软件公司 NSO,而此次被发现的间谍程序也被 Citizen Lab 和 LookOut 共同命名为“Pegasus”。

伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的

Mike Murray 说,Pegasus 几乎能执行所有监控功能,在这之前,绝无仅有。而 Blaich 则强调,中招 Pegasus 后,手机可能会出现耗电量增加的情况,持续耗电一段时间后,Pegasus 还会自动关闭程序,有时,它甚至会等待手机连接到 WI-FI 之后,才会向外传输大容量数据,非常智能。

LookOut 认为苹果用户面临极大的安全风险,在公司内部商议之后,决定立刻联系苹果公司。而据 Hardy 回忆,他们刚开始联系苹果公司,有点搞笑,当告知了苹果设备存在远程越狱的信息后,苹果公司却趾高气扬地作出回应“是的,是的,这些我们之前就有所了解,你们说的是什么?”,当 LookOut 把部分漏洞报告发送过去后,几个小时之后,苹果公司回了电话,表示这非常严重,并要求 LookOut 把所有相关细节发送给他们。最终,苹果公司用了 10 天时间来开发补丁,并及时把更新加入到 iOS9.3.5 的升级包中。

这是一个繁杂而又振奋人心的故事,在与黑客的较量中,苹果和其它电子设备制造商可能正在慢慢输掉这场斗争。就像最近发生的僵尸网络 DDoS 攻击一样,我们永远也无法想像黑客的下一个究竟目标是什么。而与此相比,一些间谍软件公司却花费精力研究如何监控普通民众。

**参考来源:Vanityfair,FB 小编 clouds 编译,转载请注明来自FreeBuf.COM


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:伯克利研究生是如何发现苹果设备超级间谍软件 Pegasus 的
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址