知名反病毒軟件開(kāi)發(fā)商卡巴斯基日前發(fā)文透露該公司遭遇的卡巴一種復(fù)雜攻擊,這次攻擊被卡巴斯基實(shí)驗(yàn)室命名為三角測(cè)量 (IOSTriangulation),斯基得益于卡巴斯基日常的遭遇濟(jì)南(按摩全套服務(wù)上門(mén))按摩崴信159+8298+6630提供外圍女小姐上門(mén)服務(wù)快速安排面到付款安全管理,此次攻擊不僅被發(fā)現(xiàn)了,復(fù)雜而且對(duì)卡巴斯基實(shí)驗(yàn)室沒(méi)有產(chǎn)生太大影響。網(wǎng)絡(luò)
卡巴斯基創(chuàng)始人尤金卡巴斯基詳細(xì)描述了漏洞以及卡巴斯基的攻擊工發(fā)現(xiàn)過(guò)程,根據(jù)說(shuō)明黑客早在 2019年就已經(jīng)滲透了卡巴斯基員工的黑客手機(jī)。
開(kāi)始:
卡巴斯基對(duì)于內(nèi)網(wǎng)的利用零點(diǎn)e藍(lán)管理比較嚴(yán)格,員工可以在公司連接 WiFi,擊漏但這個(gè) WiFi 是洞滲點(diǎn)網(wǎng)專(zhuān)門(mén)劃分出來(lái)給移動(dòng)設(shè)備使用的,使用 VLAN 隔離。卡巴
同時(shí)卡巴斯基還對(duì)這個(gè) VLAN 的斯基流量進(jìn)行監(jiān)控,最終卡巴斯基在流量中發(fā)現(xiàn)了某些異常網(wǎng)址,遭遇這才發(fā)現(xiàn)有幾十名員工已經(jīng)遭到入侵。復(fù)雜
零點(diǎn)擊漏洞 (0?click):
零點(diǎn)擊漏洞指的網(wǎng)絡(luò)濟(jì)南(按摩全套服務(wù)上門(mén))按摩崴信159+8298+6630提供外圍女小姐上門(mén)服務(wù)快速安排面到付款是不需要用戶進(jìn)行任何交互的漏洞,此類(lèi)漏洞大部分都屬于危害程度極高的漏洞,也是各大操作系統(tǒng)最關(guān)心的漏洞類(lèi)型之一。
黑客利用蘋(píng)果 iMessage 服務(wù)的零點(diǎn)擊漏洞,向卡巴斯基員工發(fā)送一條帶有附件的 iMessage 消息,卡巴斯基的員工 iPhone 接收到這條消息后就會(huì)被自動(dòng)感染,并植入惡意軟件。
惡意軟件功能:
當(dāng) iPhone 被惡意軟件感染后,黑客就開(kāi)始收集各種敏感信息并上傳到 C&C 服務(wù)器,竊取的信息包括但不限于:GPS 位置信息、使用麥克風(fēng)錄音、各種即時(shí)通訊軟件的截圖、iPhone 上的其他數(shù)據(jù)。
黑客使用了幾十個(gè)看起來(lái)正常的域名用于傳輸這些信息,避免被卡巴斯基監(jiān)測(cè)到異常,例如這種域名:businessvideonews [.] com
經(jīng)過(guò)分析后卡巴斯基實(shí)驗(yàn)室認(rèn)為此次攻擊、攻擊者、利用的漏洞與之前出現(xiàn)的 NSO 集團(tuán)飛馬座 (Pegasus)、以色列的 Predator、Reign 無(wú)關(guān),也就是一起獨(dú)立的攻擊活動(dòng)。
無(wú)法實(shí)現(xiàn)持久化,必須重復(fù)感染:
可能是由于 iOS 的某種機(jī)制,這個(gè)惡意軟件無(wú)法進(jìn)行持久化,也就是每次重啟系統(tǒng)后惡意軟件都會(huì)被停掉,攻擊者必須重新感染以啟動(dòng)。
根據(jù)卡巴斯基的調(diào)查,部分員工的 iPhone 被重復(fù)感染過(guò)多次。例如 iOS 自動(dòng)更新時(shí)就會(huì)重啟系統(tǒng),那么攻擊者就必須重復(fù)感染一次。
受感染的設(shè)備如何清理:
必須恢復(fù)出廠設(shè)置并完全重新設(shè)置,不能使用備份數(shù)據(jù)恢復(fù),因?yàn)橹踩氲膼阂廛浖赡軙?huì)從備份中恢復(fù)。
iMessage 受保護(hù)模式:
蘋(píng)果在去年年底為 iCloud 推出高級(jí)數(shù)據(jù)保護(hù)功能,此功能開(kāi)啟后 iOS 不少功能都會(huì)被限制,但安全性會(huì)被增強(qiáng)。其中有一點(diǎn)就是 iMessage 附加下載功能也會(huì)被禁用,這可能有助于防止這種攻擊。
攻擊目的分析:
卡巴斯基認(rèn)為該公司并不是黑客的主要目標(biāo),使用如此復(fù)雜的攻擊方式并開(kāi)采 iMessage 零點(diǎn)擊漏洞,說(shuō)明黑客不差錢(qián),所以這次攻擊大概率帶有其他目的。
而且卡巴斯基可能只是眾多被攻擊的機(jī)構(gòu)之一,大概率還有不少機(jī)構(gòu)遭到類(lèi)似的攻擊。
漏洞是否修復(fù):
根據(jù)卡巴斯基的說(shuō)明,相關(guān)漏洞情況已經(jīng)通報(bào)給蘋(píng)果,但蘋(píng)果始終沒(méi)有回復(fù)通報(bào)。但測(cè)試顯示蘋(píng)果在今年 2 月發(fā)布的 iOS 更新中修復(fù)了這枚漏洞,至于為什么沒(méi)有回復(fù)卡巴斯基的通報(bào)暫時(shí)還不知道原因。
后記:
由于此次攻擊非常復(fù)雜,目前卡巴斯基分析 (透露) 出來(lái)的消息還不多,卡巴斯基稱后續(xù)有新消息將繼續(xù)發(fā)布博客說(shuō)明。
此事件被命名為 IOSTriangulation,卡巴斯基做了個(gè)專(zhuān)題頁(yè)面:https://securelist.com/trng-2023/