太原市建設(shè)工程質(zhì)量監(jiān)督站網(wǎng)站電商網(wǎng)站設(shè)計 頁面轉(zhuǎn)化率
鶴壁市浩天電氣有限公司
2026/01/24 14:23:14
太原市建設(shè)工程質(zhì)量監(jiān)督站網(wǎng)站,電商網(wǎng)站設(shè)計 頁面轉(zhuǎn)化率,騰訊企業(yè)郵箱的優(yōu)惠活動,廣州工程招標(biāo)投標(biāo)信息網(wǎng)Part1 前言 大家好#xff0c;我是ABC_123。最近幾天#xff0c;美國APT實施的蘋果手機(jī)三角測量行動又成為大家關(guān)注的話題#xff0c;引發(fā)了大家對于蘋果手機(jī)、Mac筆記本電腦的安全性問題的廣泛討論。此次行動利用了至少4個蘋果系統(tǒng)的0day漏洞#xff0c;其使用…Part1 前言大家好我是ABC_123。最近幾天美國APT實施的蘋果手機(jī)三角測量行動又成為大家關(guān)注的話題引發(fā)了大家對于蘋果手機(jī)、Mac筆記本電腦的安全性問題的廣泛討論。此次行動利用了至少4個蘋果系統(tǒng)的0day漏洞其使用的后門會通過WebGL在粉色背景上繪制一個黃色三角形利用不同的手機(jī)設(shè)備在圖形上渲染的微小差異來標(biāo)識不同手機(jī)用戶因而被稱之為三角測量行動。如此隱蔽的三角測量行動是如何被發(fā)現(xiàn)的呢接下來ABC_123會連續(xù)發(fā)表幾篇文章給大家詳細(xì)講解一下文末有技術(shù)交流群的加群方式。Part2 技術(shù)研究過程三角測量行動命名的來源經(jīng)過溯源分析發(fā)現(xiàn)一旦三角測量行動攻擊成功攻擊者會通過 iMessage 的零點擊方式向受害者的 iPhone 植入一個帶有后門功能的附件。該后門利用一種名為 Canvas 的瀏覽器指紋識別技術(shù)通過 WebGL 在粉色背景上繪制一個固定形狀的黃色三角形并通過內(nèi)置代碼讀取像素數(shù)據(jù)、計算其哈希值。攻擊者利用不同設(shè)備在圖形渲染過程中產(chǎn)生的微小差異將其作為唯一特征用于識別和追蹤各個受害者的設(shè)備。如下是三角測量后門所使用的部分代碼展示了一種基于圖形渲染結(jié)果的設(shè)備指紋采集技術(shù)不同的 GPU、驅(qū)動、瀏覽器與操作系統(tǒng)在渲染同一圖形時會產(chǎn)生細(xì)微的像素差異進(jìn)而生成可區(qū)分的指紋信息。context.bufferData(context.ELEMENT_ARRAY_BUFFER, l, context.STATIC_DRAW);context.useProgram(C);context.clearColor(0.5, 0.7, 0.2, 0.25);context.clear(context.COLOR_BUFFER_BIT);context.drawElements(context.TRIANGLES, l.length, context.UNSIGNED_SHORT, 0);C.L context.getAttribLocation(C, Z(VE));C.W context.getUniformLocation(C, Z(Zv));context.enableVertexAttribArray(C.L);context.vertexAttribPointer(C.L, 3, context.FLOAT, !1, 0, 0);context.uniform2f(C.W, 1, 1);context.drawArrays(context.TRIANGLE_STRIP, 0, 3);var h new Uint8Array(262144);context.readPixels(0, 0, 256, 256, context.RGBA, context.UNSIGNED_BYTE, h);data[xT] h[88849];data[jHWOO] h[95054];data[aRR] h[99183];data[ffJEi] h[130012];for (var p 0, _ 0; _ h.length; _) p h[_];data[WjOn] p;SIEM運營平臺發(fā)現(xiàn)iPhone手機(jī)異常活動為保障內(nèi)部員工的手機(jī)、平板等移動終端的安全接入該安全公司專門為此建立了一張獨立的企業(yè)級 Wi-Fi 網(wǎng)絡(luò)用于隔離移動設(shè)備與核心業(yè)務(wù)系統(tǒng)從而降低安全風(fēng)險。同時這一獨立網(wǎng)絡(luò)也便于集中監(jiān)控和分析移動終端的異常流量。在此基礎(chǔ)上公司構(gòu)建了 SIEM安全分析與監(jiān)控系統(tǒng)對該移動網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)控與關(guān)聯(lián)分析。通過該平臺安全團(tuán)隊發(fā)現(xiàn)數(shù)部運行 iOS 系統(tǒng)的蘋果手機(jī)存在異?;顒盂E象。盡管三角測量行動的后門程序?qū)ο到y(tǒng)痕跡進(jìn)行了大量清理但在導(dǎo)出設(shè)備備份時異常文件的時間戳仍成為分析突破口幫助調(diào)查人員鎖定潛在入侵行為。制作iPhone手機(jī)離線備份在發(fā)現(xiàn)存在異?;顒拥奶O果手機(jī)后應(yīng)首先對目標(biāo)手機(jī)進(jìn)行完整備份。 備份可通過 iTunes 或命令行工具 idevicebackup2 實現(xiàn)。整個過程可能持續(xù)數(shù)小時期間可能需要多次輸入設(shè)備的解鎖密碼以授權(quán)操作。若使用 idevicebackup2 創(chuàng)建備份可執(zhí)行如下命令命令行中backup 為備份功能--full 表示執(zhí)行完整備份$backup_directory 用于指定備份文件的保存路徑。idevicebackup2 backup --full $backup_directory實際測試發(fā)現(xiàn)iPhone 生成的備份文件大小并不等同于設(shè)備的總存儲容量而是僅包含已被占用的數(shù)據(jù)部分因此能夠節(jié)省備份所需的存儲空間。使用 MVT 分析iPhone備份內(nèi)容接下來通過分析備份文件中的系統(tǒng)數(shù)據(jù)、時間線日志、消息記錄及設(shè)備配置等內(nèi)容可以尋找攻擊者遺留的痕跡。為提高效率可安裝并使用 Mobile Verification Toolkit 工具包進(jìn)行自動化分析。安裝完成后可使用 mvt-ios 或 mvt-android 命令對備份進(jìn)行檢測。MVT 內(nèi)置了大量已知惡意軟件的 IOC入侵指標(biāo)能夠幫助快速識別可疑文件、異常通信和潛在的攻擊跡象。安裝方法如下pip install mvt如果蘋果手機(jī)所有者之前設(shè)置了備份加密常見情況備份副本將被加密MVT無法直接讀取分析。在這種情況下必須先解密備份副本然后才能運行檢查MVT內(nèi)部調(diào)用 libimobiledevice 庫完成解密工作mvt-ios decrypt-backup -p password -d $decrypted_backup_directory$backup_directory使用MVT解析iPhone備份內(nèi)容可在解密后的備份目錄上運行以下命令對 iOS 備份進(jìn)行全面檢測mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory或指定 IOC 規(guī)則文件執(zhí)行分析mvt-ios check-backup --output /path/to/hasil /path/to/backup/udid/ --iocs pegasus.stix2該命令將運行 MVT 提供的所有檢查項并在輸出目錄中生成多個 JSON 和 CSV 格式的結(jié)果文件需要重點關(guān)注名為 timeline.csv 的文件。分析完成后輸出目錄中會生成多個 JSON 格式的結(jié)果文件以及一個名為 timeline.csv 的時間線文件。其中JSON 文件記錄了各類檢測項的詳細(xì)結(jié)果而 timeline.csv 文件則匯總了系統(tǒng)事件、文件操作與可疑行為的時間序列信息。發(fā)現(xiàn)可疑進(jìn)程BackupAgent通過對 timeline.csv 文件的分析發(fā)現(xiàn)BackupAgent 是早期 iOS 系統(tǒng)中用于設(shè)備備份的進(jìn)程自 iOS 10 起已被棄用并由 BackupAgent2 取代。因此在正常情況下當(dāng)前版本的 iOS 設(shè)備中不應(yīng)再出現(xiàn) BackupAgent 進(jìn)程的活動記錄。與此同時日志中還出現(xiàn)了 DataUsage數(shù)據(jù)流量記錄條目并顯示該已棄用的 BackupAgent 進(jìn)程存在網(wǎng)絡(luò)通信行為這是一個很明顯的異常現(xiàn)象。timestamp,module,event,details2022-09-13T10:04:11.890351Z,Datausage,IMTransferAgent/com.apple.datausage.messages,Bundle ID: com.apple.datausage.messages, ID: 127, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 76281896.0, WWAN OUT: 100956502.02022-09-13T10:04:54.000000Z,Manifest,Library/SMS/Attachments/65/05,MediaDomain2022-09-13T10:05:14.744570Z,Datausage,BackupAgent,Bundle ID: (empty), ID: 710, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 734459.0, WWAN OUT: 287912.0三角測量行動是通過一條惡意的iMessage推送消息實現(xiàn)的零點擊觸發(fā)的。對其他有異?;顒拥奶O果手機(jī)分析發(fā)現(xiàn)在可疑的BackupAgent進(jìn)程出現(xiàn)之前系統(tǒng)日志會記錄到一個名為IMTransferAgent的進(jìn)程。該進(jìn)程負(fù)責(zé)下載和解析iMessage的附件文件附件下載并執(zhí)行后其內(nèi)容會暫存在短信附件目錄Library/SMS/Attachments中。攻擊完成后惡意文件會被迅速刪除以掩蓋痕跡但刪除操作會導(dǎo)致多個附件目錄的 時間戳發(fā)生變化。發(fā)現(xiàn)可疑進(jìn)程BackupAgent通過分析 timeline.csv 文件發(fā)現(xiàn)還發(fā)現(xiàn)一些可疑的行為一些系統(tǒng)關(guān)鍵配置文件如 com.apple.ImageIO.plist、com.apple.locationd.StatusBarIconManager.plist 和 com.apple.imservice.ids.FaceTime.plist在短時間內(nèi)被修改或更新時間戳。上述文件分別用于管理圖像處理、定位服務(wù)和 FaceTime 通信等核心功能通常不會在幾分鐘內(nèi)頻繁變動。如下日志所示在短短 1–2 分鐘內(nèi)該 iPhone 出現(xiàn)了一系列異常的 iMessage 數(shù)據(jù)活動及系統(tǒng)文件改動。在 iMessage 零點擊漏洞觸發(fā)并執(zhí)行惡意代碼后16:35:24 的 DataUsage 模塊日志記錄顯示iMessage 后臺進(jìn)程通過蜂窩網(wǎng)絡(luò)產(chǎn)生了大量數(shù)據(jù)收發(fā)疑似正在下載攜帶攻擊載荷的惡意附件隨后在 16:36:51多個系統(tǒng)關(guān)鍵配置文件如 ImageIO 等的時間戳被同時修改這一異常文件改動與前述可疑網(wǎng)絡(luò)通信幾乎同時發(fā)生疑似攻擊行為所導(dǎo)致。2021-10-30 16:35:24.923368Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 31933.0, WWAN OUT: 104150.02021-10-30 16:35:24.928030Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945)2021-10-30 16:35:24.935920Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 47743.0, WWAN OUT: 6502.02021-10-30 16:35:24.937976Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946)2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain如下日志所示iPhone手機(jī)的消息附件目錄 iMessage/SMS 出現(xiàn)了被修改或?qū)懭氲暮圹E但日志未記錄具體的文件名。緊接著系統(tǒng)中與瀏覽器引擎相關(guān)的進(jìn)程 com.apple.WebKit.WebContent 產(chǎn)生了大量網(wǎng)絡(luò)通信活動隨后StatusBarIconManager.plist 等系統(tǒng)配置文件被改動該文件與設(shè)備的定位服務(wù)及狀態(tài)欄顯示有關(guān)。上述事件在 1 至 3 分鐘內(nèi)相繼發(fā)生這一連續(xù)的時間關(guān)聯(lián)和行為模式暗示該蘋果手機(jī)可能遭遇了一次成功的 “零點擊”攻擊利用。2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98 - MediaDomain2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:53:10.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:54:51.698609Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 77234150.0, WIFI OUT: 747603971.0 - WWAN IN: 55385088.0, WWAN OUT: 425312575.02022-09-11 19:54:51.702269Z Datausage com.apple.WebKit.WebContent (Bundle ID: , ID: 1125)2022-09-11 19:54:53.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad - MediaDomain2022-06-26 18:21:50.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:22:03.412817Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 19488889.0, WIFI OUT: 406382282.0 - WWAN IN: 66954930.0, WWAN OUT: 1521212526.02022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain2022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc - MediaDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:08.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:23.901243Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 551604.0, WIFI OUT: 6054253.0 - WWAN IN: 0.0, WWAN OUT: 0.02022-03-21 21:38:24.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain手機(jī)iOS無法安裝更新一個最直觀的異?,F(xiàn)象是iPhone手機(jī)無法正常安裝系統(tǒng)更新。這是因為三角測量行動的惡意附件會主動阻止 iOS 系統(tǒng)升級其內(nèi)置的后門程序會篡改系統(tǒng)關(guān)鍵設(shè)置文件 com.apple.softwareupdateservicesd.plist從而干擾更新進(jìn)程。受影響的設(shè)備在嘗試安裝系統(tǒng)更新時會反復(fù)出現(xiàn)提示“軟件更新失敗下載 iOS 時發(fā)生錯誤”。蘋果手機(jī)流量抓包分析安全工程師抓取的三角測量行動網(wǎng)絡(luò)流量數(shù)據(jù)包顯示后門植入過程大致可分為三個階段1. 設(shè)備與蘋果的 iMessage 服務(wù)進(jìn)行正常通信其中 *.ess.apple.com 域名屬于蘋果公司合法域名2. 設(shè)備從 icloud-content.com 或 content.icloud.com 下載一個 iMessage 附件而惡意代碼正隱藏在該附件中3. 當(dāng)附件下載完成后設(shè)備隨即開始與backuprabbit.com、cloudspncer.com等陌生服務(wù)器建立連接這些服務(wù)器已不再屬于蘋果公司均被確認(rèn)是攻擊者的指揮與控制C2節(jié)點標(biāo)志著入侵階段的完成與遠(yuǎn)程控制的開始。如下所示iMessage 附件以加密形式通過 HTTPS 渠道傳輸外部無法直接查看其內(nèi)容。唯一可觀察到的特征是下載的數(shù)據(jù)量約為 242 KB這一流量特征成為識別可疑附件下載行為的隱含指標(biāo)。Part3 總結(jié)1. 與 SolarWinds 供應(yīng)鏈攻擊被溯源的思路類似三角測量行動的發(fā)現(xiàn)同樣基于對異常業(yè)務(wù)行為與異常網(wǎng)絡(luò)流量的深入分析與關(guān)聯(lián)判斷。2. 本文是三角測量行動系列的第一篇更多技術(shù)細(xì)節(jié)與分析過程將在后續(xù)文章中逐步分享敬請期待。3. 為了便于技術(shù)交流現(xiàn)已建立微信群希水涵-信安技術(shù)交流群歡迎您的加入。公眾號專注于網(wǎng)絡(luò)安全技術(shù)分享包括APT事件分析、紅隊攻防、藍(lán)隊分析、滲透測試、代碼審計等每周一篇99%原創(chuàng)敬請關(guān)注。Contact me: 0day123abc#gmail.comOR 2332887682#qq.com(replace # with )