iOS - 資安趨勢部落格

分析 Pegasus 飛馬間諜程式所用的 ForcedEntry 零點選 iPhone 漏洞攻擊

2021 年 09 月 23 日2021 年 12 月 06 日趨勢科技 TrendMicro

Citizen Lab 發布了一項有關 iPhone 最新威脅「ForcedEntry」的報告。這個零點選 (zero-click) 的漏洞攻擊手法似乎能夠繞過 Apple 的 BlastDoor 安全機制，讓駭客直接存取裝置而不假使用者之手。

分析 Pegasus間諜程式所用的 ForcedEntry 零點選 iPhone 漏洞攻擊

Citizen Lab 最近發布了一份報告，內容詳述 9 名巴林的人權分子如何遭到精密的 iPhone 漏洞攻擊。這些人權分子據稱遭到以色列 NSO Group 駭客公司的 Pegasus (飛馬) 間諜程式攻擊，經由兩種 iMessage 零點選 (zero-click) 漏洞攻擊手法駭入其 iPhone：其一是 2020 年發現的 Kismet，其二是 2021 年最新發現的 ForcedEntry。零點選攻擊手法可說是一種相當精密的威脅，因為它有別於一般惡意程式，完全不假使用者之手就能感染裝置。前述兩種手法當中，後者又特別值得關注，因為它能繞過 Apple 的 BlastDoor 安全機制，而該機制正是專為防範零點選攻擊手法而生。

根據 Citizen Lab 的報告，Kismet 攻擊手法的流行期間是從 2020 年 7 月至 9 月，針對的是使用 iOS 13.5.1 至 13.7 的裝置，自從 Apple 在 9 月份推出 iOS 14 更新之後就已經失效。接著在 2021 年 2 月，NSO Group 開始推出能夠繞過 BlastDoor 保護的零點選漏洞攻擊手法，也就是 Citizen Lab 所稱的「ForcedEntry」。國際特赦組織 (Amnesty International) 旗下的 Amnesty Tech (集合了全球數位人權專家與資安研究人員) 也在這段期間觀察到 iMessage 零點選漏洞攻擊相關的活動，並將它命名為「Megalodon」。

繼續閱讀

新聞網站隱藏惡意程式碼,鎖定香港 iOS 用戶,具監視並取得裝置控制能力

2020 年 03 月 31 日2021 年 09 月 28 日趨勢科技 TrendMicro

最近發現一波針對香港iOS用戶的水坑攻擊。這波攻擊在多家論壇貼上聲稱連至各類新聞報導的連結。雖然這些連結的確會將使用者帶到真正的新聞網站，卻也用了隱藏iframe來載入和執行惡意程式碼。這惡意程式碼會攻擊iOS 12.1和12.2的漏洞。一旦使用帶有漏洞的裝置點入這些連結會下載新的iOS惡意軟體，我們將其稱之為 lightSpy（偵測為IOS_LightSpy.A）。

這隻惡意軟體是個模組化的後門程式，可以讓駭客遠端執行shell命令並操弄中毒裝置上的檔案。讓攻擊者能夠監視使用者裝置並取得完全控制的能力。它帶有各種模組來從中毒裝置取得資料，包括了：

連接WiFi記錄
聯絡人
GPS位置
硬體資訊
iOS鑰匙圈
電話通話記錄
Safari和Chrome瀏覽器歷史記錄
簡訊

使用者的網路環境資訊也會從目標裝置流出：

可使用的WiFi網路
本地網路IP位址

繼續閱讀

【手機病毒】XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

2019 年 04 月 08 日2019 年 04 月 12 日趨勢科技 TrendMicro

XLoader變種會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。
新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。

XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變，其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD)，是之前對此惡意軟體家族進行研究後的最新版本。

感染鏈

此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播，但我們已經看到許多使用者收到了簡訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-1-Screenshot-of-a-fake-website-that-hosts-XLoader-640x480.jpg

圖1. 託管XLoader的假網站截圖

在之前，XLoader能夠在電腦上挖掘虛擬貨幣，並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。

繼續閱讀

iXintpwn/YJSNPI 濫用 iOS 組態設定檔，造成裝置毫無反應

2017 年 09 月 22 日2017 年 09 月 21 日趨勢科技 TrendMicro

儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式，但卻也無法完全杜絕網路上的各種威脅。2016 年，趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查。

眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A)，這是一個惡意的組態設定檔，可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒，此駭客已於今年六月初遭到逮捕。

儘管 iXintpwn/YJSNPI 目前似乎集中在日本，但就其目前在社群媒體上的氾濫情況來看，就算哪天擴散至其他地區也不令人意外。

iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現，接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式，與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示，也就是網路上流傳的「野獣先輩」的圖片。

不論作者當初是為了捉弄他人，或者是為了成名，其攻擊手法都相當值得關注，因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。

YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布，尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本，會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時，就會去下載該設定檔。

圖 1：從程式碼可看出 YJSNPI 是一個 Blob 物件 (上)，以及此物件如何經由 Safari 瀏覽器下載 (下)。

iOS 組態設定檔案遭到濫用
iOS 組態設定檔案，可讓應用程式開發人員簡化設定大量裝置組態的程序，包括：電子郵件、Exchange、網路、憑證等等的設定。例如，企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外，組態設定檔也可用於自訂裝置的某些設定，如：存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。

很顯然地，歹徒可利用惡意組態設定檔來竄改設定，例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式的 Haima 重新包裝程式。

以 iXintpwn/YJSNPI 為例，歹徒使用了一個未經簽署的組態設定檔，並且將它設定成「無法刪除」，因此更難將它移除 (如下圖所示)。為了長期潛伏，它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意，iOS 系統其實有對應的安全措施，也就是，當已簽署或未簽署的設定檔要安裝在系統上時，需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式，例如，已簽署的設定檔會標示為「已經確認」。

圖 2：iXintpwn/YJSNPI 使用一個未經簽署的設定檔。