|
知名反病毒軟件開發(fā)商卡巴斯基日前發(fā)文透露該公司遭遇的卡巴一種復雜攻擊,這次攻擊被卡巴斯基實驗室命名為三角測量 (IOSTriangulation),斯基得益于卡巴斯基日常的遭遇天津河北區(qū)外圍資源.1662+044-1662.安全管理,此次攻擊不僅被發(fā)現(xiàn)了,復雜而且對卡巴斯基實驗室沒有產(chǎn)生太大影響。網(wǎng)絡 卡巴斯基創(chuàng)始人尤金卡巴斯基詳細描述了漏洞以及卡巴斯基的攻擊工發(fā)現(xiàn)過程,根據(jù)說明黑客早在 2019年就已經(jīng)滲透了卡巴斯基員工的黑客手機。
開始: 卡巴斯基對于內(nèi)網(wǎng)的利用零點e藍管理比較嚴格,員工可以在公司連接 WiFi,擊漏但這個 WiFi 是洞滲點網(wǎng)專門劃分出來給移動設備使用的,使用 VLAN 隔離。卡巴 同時卡巴斯基還對這個 VLAN 的斯基流量進行監(jiān)控,最終卡巴斯基在流量中發(fā)現(xiàn)了某些異常網(wǎng)址,遭遇這才發(fā)現(xiàn)有幾十名員工已經(jīng)遭到入侵。復雜 零點擊漏洞 (0?click): 零點擊漏洞指的網(wǎng)絡天津河北區(qū)外圍資源.1662+044-1662.是不需要用戶進行任何交互的漏洞,此類漏洞大部分都屬于危害程度極高的漏洞,也是各大操作系統(tǒng)最關心的漏洞類型之一。 黑客利用蘋果 iMessage 服務的零點擊漏洞,向卡巴斯基員工發(fā)送一條帶有附件的 iMessage 消息,卡巴斯基的員工 iPhone 接收到這條消息后就會被自動感染,并植入惡意軟件。 惡意軟件功能: 當 iPhone 被惡意軟件感染后,黑客就開始收集各種敏感信息并上傳到 C&C 服務器,竊取的信息包括但不限于:GPS 位置信息、使用麥克風錄音、各種即時通訊軟件的截圖、iPhone 上的其他數(shù)據(jù)。 黑客使用了幾十個看起來正常的域名用于傳輸這些信息,避免被卡巴斯基監(jiān)測到異常,例如這種域名:businessvideonews [.] com 經(jīng)過分析后卡巴斯基實驗室認為此次攻擊、攻擊者、利用的漏洞與之前出現(xiàn)的 NSO 集團飛馬座 (Pegasus)、以色列的 Predator、Reign 無關,也就是一起獨立的攻擊活動。 無法實現(xiàn)持久化,必須重復感染: 可能是由于 iOS 的某種機制,這個惡意軟件無法進行持久化,也就是每次重啟系統(tǒng)后惡意軟件都會被停掉,攻擊者必須重新感染以啟動。 根據(jù)卡巴斯基的調(diào)查,部分員工的 iPhone 被重復感染過多次。例如 iOS 自動更新時就會重啟系統(tǒng),那么攻擊者就必須重復感染一次。 受感染的設備如何清理: 必須恢復出廠設置并完全重新設置,不能使用備份數(shù)據(jù)恢復,因為植入的惡意軟件可能會從備份中恢復。 iMessage 受保護模式: 蘋果在去年年底為 iCloud 推出高級數(shù)據(jù)保護功能,此功能開啟后 iOS 不少功能都會被限制,但安全性會被增強。其中有一點就是 iMessage 附加下載功能也會被禁用,這可能有助于防止這種攻擊。 攻擊目的分析: 卡巴斯基認為該公司并不是黑客的主要目標,使用如此復雜的攻擊方式并開采 iMessage 零點擊漏洞,說明黑客不差錢,所以這次攻擊大概率帶有其他目的。 而且卡巴斯基可能只是眾多被攻擊的機構之一,大概率還有不少機構遭到類似的攻擊。 漏洞是否修復: 根據(jù)卡巴斯基的說明,相關漏洞情況已經(jīng)通報給蘋果,但蘋果始終沒有回復通報。但測試顯示蘋果在今年 2 月發(fā)布的 iOS 更新中修復了這枚漏洞,至于為什么沒有回復卡巴斯基的通報暫時還不知道原因。 后記: 由于此次攻擊非常復雜,目前卡巴斯基分析 (透露) 出來的消息還不多,卡巴斯基稱后續(xù)有新消息將繼續(xù)發(fā)布博客說明。 此事件被命名為 IOSTriangulation,卡巴斯基做了個專題頁面:https://securelist.com/trng-2023/ |
