個(gè)人接外貿(mào)訂單網(wǎng)站北京燕化工程建設(shè)有限公司網(wǎng)站
鶴壁市浩天電氣有限公司
2026/01/24 17:37:49
個(gè)人接外貿(mào)訂單網(wǎng)站,北京燕化工程建設(shè)有限公司網(wǎng)站,金壇網(wǎng)站優(yōu)化,淄博seo網(wǎng)站排名優(yōu)化Part1 前言 大家好#xff0c;我是ABC_123。最近幾天#xff0c;美國(guó)APT實(shí)施的蘋(píng)果手機(jī)三角測(cè)量行動(dòng)又成為大家關(guān)注的話題#xff0c;引發(fā)了大家對(duì)于蘋(píng)果手機(jī)、Mac筆記本電腦的安全性問(wèn)題的廣泛討論。此次行動(dòng)利用了至少4個(gè)蘋(píng)果系統(tǒng)的0day漏洞#xff0c;其使用…Part1 前言大家好我是ABC_123。最近幾天美國(guó)APT實(shí)施的蘋(píng)果手機(jī)三角測(cè)量行動(dòng)又成為大家關(guān)注的話題引發(fā)了大家對(duì)于蘋(píng)果手機(jī)、Mac筆記本電腦的安全性問(wèn)題的廣泛討論。此次行動(dòng)利用了至少4個(gè)蘋(píng)果系統(tǒng)的0day漏洞其使用的后門(mén)會(huì)通過(guò)WebGL在粉色背景上繪制一個(gè)黃色三角形利用不同的手機(jī)設(shè)備在圖形上渲染的微小差異來(lái)標(biāo)識(shí)不同手機(jī)用戶因而被稱(chēng)之為三角測(cè)量行動(dòng)。如此隱蔽的三角測(cè)量行動(dòng)是如何被發(fā)現(xiàn)的呢接下來(lái)ABC_123會(huì)連續(xù)發(fā)表幾篇文章給大家詳細(xì)講解一下文末有技術(shù)交流群的加群方式。Part2 技術(shù)研究過(guò)程三角測(cè)量行動(dòng)命名的來(lái)源經(jīng)過(guò)溯源分析發(fā)現(xiàn)一旦三角測(cè)量行動(dòng)攻擊成功攻擊者會(huì)通過(guò) iMessage 的零點(diǎn)擊方式向受害者的 iPhone 植入一個(gè)帶有后門(mén)功能的附件。該后門(mén)利用一種名為 Canvas 的瀏覽器指紋識(shí)別技術(shù)通過(guò) WebGL 在粉色背景上繪制一個(gè)固定形狀的黃色三角形并通過(guò)內(nèi)置代碼讀取像素?cái)?shù)據(jù)、計(jì)算其哈希值。攻擊者利用不同設(shè)備在圖形渲染過(guò)程中產(chǎn)生的微小差異將其作為唯一特征用于識(shí)別和追蹤各個(gè)受害者的設(shè)備。如下是三角測(cè)量后門(mén)所使用的部分代碼展示了一種基于圖形渲染結(jié)果的設(shè)備指紋采集技術(shù)不同的 GPU、驅(qū)動(dòng)、瀏覽器與操作系統(tǒng)在渲染同一圖形時(shí)會(huì)產(chǎn)生細(xì)微的像素差異進(jìn)而生成可區(qū)分的指紋信息。context.bufferData(context.ELEMENT_ARRAY_BUFFER, l, context.STATIC_DRAW);context.useProgram(C);context.clearColor(0.5, 0.7, 0.2, 0.25);context.clear(context.COLOR_BUFFER_BIT);context.drawElements(context.TRIANGLES, l.length, context.UNSIGNED_SHORT, 0);C.L context.getAttribLocation(C, Z(VE));C.W context.getUniformLocation(C, Z(Zv));context.enableVertexAttribArray(C.L);context.vertexAttribPointer(C.L, 3, context.FLOAT, !1, 0, 0);context.uniform2f(C.W, 1, 1);context.drawArrays(context.TRIANGLE_STRIP, 0, 3);var h new Uint8Array(262144);context.readPixels(0, 0, 256, 256, context.RGBA, context.UNSIGNED_BYTE, h);data[xT] h[88849];data[jHWOO] h[95054];data[aRR] h[99183];data[ffJEi] h[130012];for (var p 0, _ 0; _ h.length; _) p h[_];data[WjOn] p;SIEM運(yùn)營(yíng)平臺(tái)發(fā)現(xiàn)iPhone手機(jī)異?;顒?dòng)為保障內(nèi)部員工的手機(jī)、平板等移動(dòng)終端的安全接入該安全公司專(zhuān)門(mén)為此建立了一張獨(dú)立的企業(yè)級(jí) Wi-Fi 網(wǎng)絡(luò)用于隔離移動(dòng)設(shè)備與核心業(yè)務(wù)系統(tǒng)從而降低安全風(fēng)險(xiǎn)。同時(shí)這一獨(dú)立網(wǎng)絡(luò)也便于集中監(jiān)控和分析移動(dòng)終端的異常流量。在此基礎(chǔ)上公司構(gòu)建了 SIEM安全分析與監(jiān)控系統(tǒng)對(duì)該移動(dòng)網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)控與關(guān)聯(lián)分析。通過(guò)該平臺(tái)安全團(tuán)隊(duì)發(fā)現(xiàn)數(shù)部運(yùn)行 iOS 系統(tǒng)的蘋(píng)果手機(jī)存在異?;顒?dòng)跡象。盡管三角測(cè)量行動(dòng)的后門(mén)程序?qū)ο到y(tǒng)痕跡進(jìn)行了大量清理但在導(dǎo)出設(shè)備備份時(shí)異常文件的時(shí)間戳仍成為分析突破口幫助調(diào)查人員鎖定潛在入侵行為。制作iPhone手機(jī)離線備份在發(fā)現(xiàn)存在異?;顒?dòng)的蘋(píng)果手機(jī)后應(yīng)首先對(duì)目標(biāo)手機(jī)進(jìn)行完整備份。 備份可通過(guò) iTunes 或命令行工具 idevicebackup2 實(shí)現(xiàn)。整個(gè)過(guò)程可能持續(xù)數(shù)小時(shí)期間可能需要多次輸入設(shè)備的解鎖密碼以授權(quán)操作。若使用 idevicebackup2 創(chuàng)建備份可執(zhí)行如下命令命令行中backup 為備份功能--full 表示執(zhí)行完整備份$backup_directory 用于指定備份文件的保存路徑。idevicebackup2 backup --full $backup_directory實(shí)際測(cè)試發(fā)現(xiàn)iPhone 生成的備份文件大小并不等同于設(shè)備的總存儲(chǔ)容量而是僅包含已被占用的數(shù)據(jù)部分因此能夠節(jié)省備份所需的存儲(chǔ)空間。使用 MVT 分析iPhone備份內(nèi)容接下來(lái)通過(guò)分析備份文件中的系統(tǒng)數(shù)據(jù)、時(shí)間線日志、消息記錄及設(shè)備配置等內(nèi)容可以尋找攻擊者遺留的痕跡。為提高效率可安裝并使用 Mobile Verification Toolkit 工具包進(jìn)行自動(dòng)化分析。安裝完成后可使用 mvt-ios 或 mvt-android 命令對(duì)備份進(jìn)行檢測(cè)。MVT 內(nèi)置了大量已知惡意軟件的 IOC入侵指標(biāo)能夠幫助快速識(shí)別可疑文件、異常通信和潛在的攻擊跡象。安裝方法如下pip install mvt如果蘋(píng)果手機(jī)所有者之前設(shè)置了備份加密常見(jiàn)情況備份副本將被加密MVT無(wú)法直接讀取分析。在這種情況下必須先解密備份副本然后才能運(yùn)行檢查MVT內(nèi)部調(diào)用 libimobiledevice 庫(kù)完成解密工作mvt-ios decrypt-backup -p password -d $decrypted_backup_directory$backup_directory使用MVT解析iPhone備份內(nèi)容可在解密后的備份目錄上運(yùn)行以下命令對(duì) iOS 備份進(jìn)行全面檢測(cè)mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory或指定 IOC 規(guī)則文件執(zhí)行分析mvt-ios check-backup --output /path/to/hasil /path/to/backup/udid/ --iocs pegasus.stix2該命令將運(yùn)行 MVT 提供的所有檢查項(xiàng)并在輸出目錄中生成多個(gè) JSON 和 CSV 格式的結(jié)果文件需要重點(diǎn)關(guān)注名為 timeline.csv 的文件。分析完成后輸出目錄中會(huì)生成多個(gè) JSON 格式的結(jié)果文件以及一個(gè)名為 timeline.csv 的時(shí)間線文件。其中JSON 文件記錄了各類(lèi)檢測(cè)項(xiàng)的詳細(xì)結(jié)果而 timeline.csv 文件則匯總了系統(tǒng)事件、文件操作與可疑行為的時(shí)間序列信息。發(fā)現(xiàn)可疑進(jìn)程BackupAgent通過(guò)對(duì) timeline.csv 文件的分析發(fā)現(xiàn)BackupAgent 是早期 iOS 系統(tǒng)中用于設(shè)備備份的進(jìn)程自 iOS 10 起已被棄用并由 BackupAgent2 取代。因此在正常情況下當(dāng)前版本的 iOS 設(shè)備中不應(yīng)再出現(xiàn) BackupAgent 進(jìn)程的活動(dòng)記錄。與此同時(shí)日志中還出現(xiàn)了 DataUsage數(shù)據(jù)流量記錄條目并顯示該已棄用的 BackupAgent 進(jìn)程存在網(wǎng)絡(luò)通信行為這是一個(gè)很明顯的異常現(xiàn)象。timestamp,module,event,details2022-09-13T10:04:11.890351Z,Datausage,IMTransferAgent/com.apple.datausage.messages,Bundle ID: com.apple.datausage.messages, ID: 127, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 76281896.0, WWAN OUT: 100956502.02022-09-13T10:04:54.000000Z,Manifest,Library/SMS/Attachments/65/05,MediaDomain2022-09-13T10:05:14.744570Z,Datausage,BackupAgent,Bundle ID: (empty), ID: 710, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 734459.0, WWAN OUT: 287912.0三角測(cè)量行動(dòng)是通過(guò)一條惡意的iMessage推送消息實(shí)現(xiàn)的零點(diǎn)擊觸發(fā)的。對(duì)其他有異常活動(dòng)的蘋(píng)果手機(jī)分析發(fā)現(xiàn)在可疑的BackupAgent進(jìn)程出現(xiàn)之前系統(tǒng)日志會(huì)記錄到一個(gè)名為IMTransferAgent的進(jìn)程。該進(jìn)程負(fù)責(zé)下載和解析iMessage的附件文件附件下載并執(zhí)行后其內(nèi)容會(huì)暫存在短信附件目錄Library/SMS/Attachments中。攻擊完成后惡意文件會(huì)被迅速刪除以掩蓋痕跡但刪除操作會(huì)導(dǎo)致多個(gè)附件目錄的 時(shí)間戳發(fā)生變化。發(fā)現(xiàn)可疑進(jìn)程BackupAgent通過(guò)分析 timeline.csv 文件發(fā)現(xiàn)還發(fā)現(xiàn)一些可疑的行為一些系統(tǒng)關(guān)鍵配置文件如 com.apple.ImageIO.plist、com.apple.locationd.StatusBarIconManager.plist 和 com.apple.imservice.ids.FaceTime.plist在短時(shí)間內(nèi)被修改或更新時(shí)間戳。上述文件分別用于管理圖像處理、定位服務(wù)和 FaceTime 通信等核心功能通常不會(huì)在幾分鐘內(nèi)頻繁變動(dòng)。如下日志所示在短短 1–2 分鐘內(nèi)該 iPhone 出現(xiàn)了一系列異常的 iMessage 數(shù)據(jù)活動(dòng)及系統(tǒng)文件改動(dòng)。在 iMessage 零點(diǎn)擊漏洞觸發(fā)并執(zhí)行惡意代碼后16:35:24 的 DataUsage 模塊日志記錄顯示iMessage 后臺(tái)進(jìn)程通過(guò)蜂窩網(wǎng)絡(luò)產(chǎn)生了大量數(shù)據(jù)收發(fā)疑似正在下載攜帶攻擊載荷的惡意附件隨后在 16:36:51多個(gè)系統(tǒng)關(guān)鍵配置文件如 ImageIO 等的時(shí)間戳被同時(shí)修改這一異常文件改動(dòng)與前述可疑網(wǎng)絡(luò)通信幾乎同時(shí)發(fā)生疑似攻擊行為所導(dǎo)致。2021-10-30 16:35:24.923368Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 31933.0, WWAN OUT: 104150.02021-10-30 16:35:24.928030Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945)2021-10-30 16:35:24.935920Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 47743.0, WWAN OUT: 6502.02021-10-30 16:35:24.937976Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946)2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain如下日志所示iPhone手機(jī)的消息附件目錄 iMessage/SMS 出現(xiàn)了被修改或?qū)懭氲暮圹E但日志未記錄具體的文件名。緊接著系統(tǒng)中與瀏覽器引擎相關(guān)的進(jìn)程 com.apple.WebKit.WebContent 產(chǎn)生了大量網(wǎng)絡(luò)通信活動(dòng)隨后StatusBarIconManager.plist 等系統(tǒng)配置文件被改動(dòng)該文件與設(shè)備的定位服務(wù)及狀態(tài)欄顯示有關(guān)。上述事件在 1 至 3 分鐘內(nèi)相繼發(fā)生這一連續(xù)的時(shí)間關(guān)聯(lián)和行為模式暗示該蘋(píng)果手機(jī)可能遭遇了一次成功的 “零點(diǎn)擊”攻擊利用。2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98 - MediaDomain2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:53:10.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:54:51.698609Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 77234150.0, WIFI OUT: 747603971.0 - WWAN IN: 55385088.0, WWAN OUT: 425312575.02022-09-11 19:54:51.702269Z Datausage com.apple.WebKit.WebContent (Bundle ID: , ID: 1125)2022-09-11 19:54:53.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad - MediaDomain2022-06-26 18:21:50.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:22:03.412817Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 19488889.0, WIFI OUT: 406382282.0 - WWAN IN: 66954930.0, WWAN OUT: 1521212526.02022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain2022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc - MediaDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:08.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:23.901243Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 551604.0, WIFI OUT: 6054253.0 - WWAN IN: 0.0, WWAN OUT: 0.02022-03-21 21:38:24.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain手機(jī)iOS無(wú)法安裝更新一個(gè)最直觀的異?,F(xiàn)象是iPhone手機(jī)無(wú)法正常安裝系統(tǒng)更新。這是因?yàn)槿菧y(cè)量行動(dòng)的惡意附件會(huì)主動(dòng)阻止 iOS 系統(tǒng)升級(jí)其內(nèi)置的后門(mén)程序會(huì)篡改系統(tǒng)關(guān)鍵設(shè)置文件 com.apple.softwareupdateservicesd.plist從而干擾更新進(jìn)程。受影響的設(shè)備在嘗試安裝系統(tǒng)更新時(shí)會(huì)反復(fù)出現(xiàn)提示“軟件更新失敗下載 iOS 時(shí)發(fā)生錯(cuò)誤”。蘋(píng)果手機(jī)流量抓包分析安全工程師抓取的三角測(cè)量行動(dòng)網(wǎng)絡(luò)流量數(shù)據(jù)包顯示后門(mén)植入過(guò)程大致可分為三個(gè)階段1. 設(shè)備與蘋(píng)果的 iMessage 服務(wù)進(jìn)行正常通信其中 *.ess.apple.com 域名屬于蘋(píng)果公司合法域名2. 設(shè)備從 icloud-content.com 或 content.icloud.com 下載一個(gè) iMessage 附件而惡意代碼正隱藏在該附件中3. 當(dāng)附件下載完成后設(shè)備隨即開(kāi)始與backuprabbit.com、cloudspncer.com等陌生服務(wù)器建立連接這些服務(wù)器已不再屬于蘋(píng)果公司均被確認(rèn)是攻擊者的指揮與控制C2節(jié)點(diǎn)標(biāo)志著入侵階段的完成與遠(yuǎn)程控制的開(kāi)始。如下所示iMessage 附件以加密形式通過(guò) HTTPS 渠道傳輸外部無(wú)法直接查看其內(nèi)容。唯一可觀察到的特征是下載的數(shù)據(jù)量約為 242 KB這一流量特征成為識(shí)別可疑附件下載行為的隱含指標(biāo)。Part3 總結(jié)1. 與 SolarWinds 供應(yīng)鏈攻擊被溯源的思路類(lèi)似三角測(cè)量行動(dòng)的發(fā)現(xiàn)同樣基于對(duì)異常業(yè)務(wù)行為與異常網(wǎng)絡(luò)流量的深入分析與關(guān)聯(lián)判斷。2. 本文是三角測(cè)量行動(dòng)系列的第一篇更多技術(shù)細(xì)節(jié)與分析過(guò)程將在后續(xù)文章中逐步分享敬請(qǐng)期待。3. 為了便于技術(shù)交流現(xiàn)已建立微信群希水涵-信安技術(shù)交流群歡迎您的加入。公眾號(hào)專(zhuān)注于網(wǎng)絡(luò)安全技術(shù)分享包括APT事件分析、紅隊(duì)攻防、藍(lán)隊(duì)分析、滲透測(cè)試、代碼審計(jì)等每周一篇99%原創(chuàng)敬請(qǐng)關(guān)注。Contact me: 0day123abc#gmail.comOR 2332887682#qq.com(replace # with )