iOS“远程越狱”间谍软件Pegasus技术分析

上周苹果紧急发布了iOS 9.3.5，修复了三个0day漏洞，这3个漏洞能让攻击者对全球范围内的iPhone进行监听。

这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日，分别收到的两条短信，短信中附有链接，短信称链接网站里包含囚犯在阿联酋遭受虐待的“新秘密”。实际上这位人权活动人士对这种包含链接的短信已经见怪不怪，因此他没有点击链接，而是立即把短信转发给了Lookout和公民实验室的研究人员。

Lookout公司的研究人员通过研究发现，用户点击短信内的链接后，攻击者就会利用3个0day漏洞，对用户手机“远程越狱”，然后安装间谍软件，随后就能对设备进行全面控制，还能获取设备中的数据，通过麦克风监听对话，跟踪即时通讯应用的对话内容等。Lookout公司把这款恶意软件命名为Pegasus，并对其技术细节进行了分析。

攻击过程

Pegasus的可怕之处在于，攻击过程基本不需要用户交互，用户所要做的仅仅是点击一个链接，接着，攻击者就可以静默地传送payload，然后远程越狱，安装间谍软件。用户唯一能感知到的情况就是点击链接之后，浏览器自动关闭了。间谍软件中包含恶意代码、进程和用于监控用户行为并进行反馈的app。这款间谍软件能够获取系统内置软件中的短信、通话记录、邮件、日志，还有下列app中的信息：

Gmail
Facetime
Facebook
Line
Mail.Ru
日历
微信
Surespot
Tango
WhatsApp
Viber
Skype
Telegram

实际上，iOS的安全机制并不允许应用相互监控，但是可以在越狱的设备上安装用户监控的hook。Pegasus就是利用了远程越狱和hook。Pegasus将它的动态库插入到设备里的针对正规进程中。这些动态库之后就会使用Cydia Mobile Substrate框架去hook应用。

简要来说，攻击共分为三个阶段：

第一阶段：传送并利用WebKit漏洞，通过HTML文件利用WebKit中的CVE-2016-4655漏洞。

第二阶段：越狱。在第一阶段中会根据设备(32/64位)下载相应的，经过加密混淆的包。每次下载的包都是用独一无二的key加密的。软件包内包含针对iOS内核两个漏洞(CVE-2016-4656和CVE-2016-4657)的exp还有一个用来下载解密第三阶段软件包的loader。

第三阶段：安装间谍软件。经过了第二阶段的越狱，第三阶段中，攻击者会选择需要监听的软件，把hook安装到应用中。另外，第三阶段还会检查设备之前有没有通过其他方式越狱过，如果有，则会移除之前越狱后开放的系统访问权限，如ssh。软件还有一个“故障保险“，如果检测到设备满足某些条件，软件就会自毁。

第三阶段中，间谍会部署一个test222.tar文件，这是一个tar包，包中包含各种实现各种目的的文件，如实现中间人攻击的根TLS证书、针对Viber、Whatsapp的嗅探库、专门用于通话录音的库等。

攻击影响的系统范围非常广泛，从iOS 7.0以上直至8月8日发布的9.3.4都受到波及。

“Trident“漏洞详情

CVE-2016-4657: Safari Webkit内存损坏.

Safari Webkit中存在一个漏洞，能够执行任意代码。Pegasus会利用这个漏洞获取Safari浏览器内的代码执行权限。

CVE-2016-4655: 内核信息泄露KASLR保护绕过漏洞

在Pegasus进行越狱之前，它首先得确定内存中内核的位置。苹果系统中的KASLR保护就是把内核映射到不可预测的内存地址，以起到保护的作用。

但是在这个漏洞中，攻击者使用一个函数调用，这个函数会在返回值中返回没有经过混淆的内存地址。

CVE-2016-4656: 内核内存损坏(用于越狱)

最后这个漏洞用于越狱。漏洞基于内核中的内存损坏漏洞。针对iOS各版本的不同，exp也各有不同。这个漏洞非常复杂，因此，Lookout需要进一步研究，之后会发表更详细的报告。

越狱过程

关闭内核安全保护，关闭代码签名机制
重新挂载系统分区
清理Safari缓存(为了清理痕迹)
写入越狱有关文件(/sbin/mount_nfs)

第二阶段结束时，exp会移除/etc/nfs.conf，然后加载/sbin/mount_nfs。为了在重启之后依然留在系统中，Pegasus会把系统守护进程rtbuddyd替换成一个jsc二进制文件，并且创建一个链接到ascript。

软件分析

保护功能

Pegasus应该是Lookout调查过的最复杂精妙的间谍软件了。它采用非常新颖的方法安装、隐藏自己、驻足系统。一旦安装成功，这个软件就会采用各种方法来隐藏自己，防止被发现。它还会调用大量函数收集数据、截获短信和电话。

安装

第三阶段时，软件会运行一个lw-install二进制文件，这个文件包含很多关键架构，并且能在用户重启之后仍然驻足系统，良心的是其中还有一些保护功能，防止用户手机变砖。

lw-install首先会检查iOS版本，对于不同的版本，lw-install会执行不同的命令。

在iOS 9上，它会对/Library/LaunchDaemons中的plist文件执行“/sbin/launchctl load”，LaunchDaemons目录一般是空的，如果用户之前已经越狱，这里就会存放一些launchd plist文件，目的是让这些文件在重启之后能够运行。

JSC权限提升

Pegasus会通过jsc来做到驻足系统的目的。jsc是一个开发者工具，主要是用于让用户能够在浏览器环境外使用WebKit引擎执行js代码。

为了能够驻足系统，Pegasus会把rtbuddyd守护进程替换成一个jsc的副本(经过签名，能够运行代码)。设备重启后，rtbuddyd会加载–early-boot，这是com.apple.itunesstored.2.cstore文件的链接。com.apple.itunesstored.2.cstore文件跟CVE-2016-4655 exp的结构相似。它能够在系统每次重启之后重新加载shellcode，攻击内核。

Pegasus有很多保证私密的功能，他会经常检查手机有没有被其他软件越狱，甚至还包含一个复杂的自毁机制：

禁止更新

检测越狱

C&C服务器通信

Pegasus联系C&C服务器的手段非常隐蔽，如下图所示：

这看似是来自Google的密码重置短信，实际上含有来自C&C服务器的指令。Pegasus能够接收5种类型的指令，验证码的最后一位就是指令的ID，在本例中，指令ID就是9。

之所以使用短信，是因为Pegasus能够在没有网络的情况下接收指令。如果C2服务器下线了，这种使用短信的方法仍然能够让攻击者发送信息，告诉受害者手机新的C2服务器地址。

数据收集

手机中各个通信软件都有专门的处理模块能够窃取其中的信息，这些软件包括：

SMS/iMessage
日历
通讯录
Gmail
Viber
Facebook
WhatsApp
Telegram
Skype
Line
Kakao
微信
Surespot
Imo.im
Mail.Ru
Tango
VK
Odnoklassnik

除此之外，Pegasus还会收集其他各种信息，其中包括：

GPS位置信息
用户输入的密码
WiFi密码

进程注入

为了实时截获WhatsApp、Viber等应用的电话，Pegasus会使用一个库，动态注入到他们的进程空间。这是基于converter二进制文件：https://github.com/r-plus/substrate/blob/master/cynject.cpp

这个库会将进程PID作为参数，用Mach kernel API注入动态库到进程中。converter的用法如下：

start (usage: %s [args...])

WhatsApp

对于各种通信应用，Pegasus都有特别的方式进行监听，对于部分应用，如Skype和Telegram，软件会直接从本地读取数据库;而对于WhatsApp，除了记录消息记录和通话记录，Pegasus还会加载一个库(libwacalls)这个库能够hook关键的WhatsApp函数，然后拦截各种类型的通信。

当有通话开始、中断、结束，或者有另一通电话时，这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。通知的ID是唯一的，长达56个字符，似乎是sha224哈希函数的输出值。Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知，然后libaudio.dylib就会进行处理，Pegasus从而就能对用户的WhatsApp通话进行录音。

Libaudio会把通话录音保存在如下目录：