来源:Operation Triangulation: iOS devices targeted with previously unknown malware | Securelist
近期,卡巴斯基实验室在其企业移动设备专用Wi-Fi网络中,通过内部监控系统发现了一系列异常网络活动。这些流量源头指向多台运行iOS系统的设备。由于现代iOS系统封闭性强,无法直接进行实时内存或内核层面的深入分析,研究人员转而采用离线备份分析的方式,结合开源工具 Mobile Verification Toolkit (MVT),成功识别出一种高度隐蔽的持续性攻击活动。
该攻击活动被命名为 “Operation Triangulation”(三角定位行动),其技术复杂度、攻击链条的完整性和长期潜伏特征,表明其背后极有可能是一个具备国家级资源支持的高级持续性威胁(APT)组织。
本文将基于卡巴斯基发布的公开信息,对“三角定位”行动的技术路径、取证方法和防御建议进行系统性梳理与解读。
攻击全景:从iMessage到完全控制
“三角定位”行动的核心是一次无需用户交互的零点击攻击(Zero-Click Exploit),攻击者利用iMessage服务作为初始入口,实现了对目标设备的远程入侵。
整个攻击流程可归纳为以下几个阶段:
初始投递:攻击者向目标设备发送一条带有恶意附件的iMessage消息。该附件本身即为一个精心构造的漏洞利用载荷。
自动触发:由于iMessage服务在后台自动处理消息和附件,用户无需点击或打开消息,系统便会自动下载并解析附件,从而触发其中的漏洞。
代码执行与提权:漏洞利用成功后,攻击代码在用户空间执行,并立即从远程控制服务器(C&C)下载后续攻击阶段的组件,包括用于权限提升的额外漏洞利用程序。
持久化平台部署:在获得root权限后,最终的恶意载荷被下载并运行。这是一个功能完整的APT平台,具备信息窃取、指令执行和模块化扩展能力。
痕迹清除:攻击完成后,原始iMessage消息及其附件会被自动删除,试图抹除入侵痕迹。
值得注意的是,该恶意工具集不具备传统意义上的持久化机制。这可能是由于iOS系统的安全限制所致。然而,研究人员发现,设备在重启后可能再次被感染,表明攻击者可能通过某种方式维持了长期的攻击窗口。
证据留存:即使清除,痕迹仍在
尽管攻击者在设计中包含了清除痕迹的逻辑,但通过对设备备份文件的深度分析,安全研究人员仍能发现确凿的入侵证据。
iOS的iTunes或第三方工具(如idevicebackup2)创建的备份,包含了文件系统的一部分副本,包括用户数据和服务数据库。这些数据中的时间戳信息,可以被用来重构设备上的事件时间线。
研究人员使用MVT工具生成的timeline.csv文件,相当于一个“超级时间线”,成为发现异常行为的关键。
最可靠的入侵指标(IOC)
在所有发现的痕迹中,最可靠的指标是 BackupAgent 进程的出现。
BackupAgent是一个已被弃用的系统组件,在正常iOS使用场景中不应出现。与之容易混淆的是
BackupAgent2,但后者是合法进程,并非感染迹象。在攻击过程中,
BackupAgent通常紧随IMTransferAgent出现,后者负责下载iMessage附件。此时,附件虽被删除,但其所在的目录(如Library/SMS/Attachments/)的时间戳会被修改,留下“空目录”这一异常痕迹。
例如,在日志中可能会看到如下记录:
2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages ... WWAN IN: 76281896.0, WWAN OUT: 100956502.0这表示通过蜂窝网络(WWAN)下载了大量数据,极有可能是恶意附件。
其他辅助性指标
当多个异常事件在1至3分钟内连续发生时,可作为辅助判断依据:
文件修改:
com.apple.ImageIO.plist、com.apple.locationd.StatusBarIconManager.plist、com.apple.imservice.ids.FaceTime.plist等系统配置文件被修改。异常数据使用:
com.apple.WebKit.WebContent、powerd、lockdownd等服务出现异常的数据使用记录。目录修改无文件:
Library/SMS/Attachments/下的子目录时间戳被更新,但目录内无实际文件。
一个典型的攻击序列可能是:
附件目录时间戳更新(无文件)
com.apple.WebKit.WebContent出现数据使用com.apple.locationd.StatusBarIconManager.plist被修改
这一系列动作高度吻合零点击攻击的执行流程。
隐蔽的系统干扰
研究人员还发现,恶意代码会修改系统更新配置文件 com.apple.softwareupdateservicesd.plist,导致用户无法正常安装iOS更新,提示“软件更新失败。下载iOS时发生错误”。这一行为可能是为了阻止设备升级到已修补漏洞的系统版本,从而延长攻击窗口。
网络层的攻击特征
除了设备本地的痕迹,网络流量中也存在可识别的攻击模式。通过分析NetFlow、DNS或PCAP数据,可以发现以下典型的HTTPS连接序列:
与iMessage服务通信:访问
*.ess.apple.com域名,属于正常iMessage交互。附件下载:连接
*.icloud-content.com或content.icloud.com,下载加密附件。值得注意的是,该附件大小约为242KB,可作为识别恶意载荷的间接线索。连接C&C服务器:短时间内与两个不同的C&C域名建立HTTPS连接,且通常伴随大量上行数据传输,表明设备正在向外泄露信息。
已知C&C域名列表
以下域名已被确认与“三角定位”行动相关,可用于网络日志排查或防火墙策略封禁:
addatamarket.net
backuprabbit.com
businessvideonews.com
cloudsponcer.com
datamarketplace.net
mobilegamerstats.com
snoweeanalytics.com
tagclick-cdn.com
topographyupdates.com
unlimitedteacup.com
virtuallaughing.com
web-trackers.com
growthtransport.com
anstv.net
ans7tv.net
建议企业安全团队检查DNS日志,排查内部设备是否存在访问上述域名的记录。
检测与响应:如何自查?
如果您怀疑设备可能受到影响,可按以下步骤进行检测:
1. 创建设备备份
使用iTunes或开源工具 idevicebackup2 对目标设备进行完整备份:
idevicebackup2 backup --full /path/to/backup
2. 安装MVT工具
pip install mvt3. 解密备份(如已加密)
mvt-ios decrypt-backup -d /path/to/decrypted /path/to/backup4. 扫描并生成时间线
mvt-ios check-backup -o /path/to/output /path/to/decrypted5. 分析timeline.csv
重点查找:
BackupAgent进程记录IMTransferAgent的异常数据使用关键系统文件的修改时间
附件目录的异常时间戳
总结与建议
“三角定位”行动揭示了iOS平台面临的高级威胁现实。攻击者利用零点击漏洞,通过iMessage实现无声入侵,其技术手段之隐蔽、攻击链条之完整,令人警惕。
尽管攻击者试图清除痕迹,但通过系统化的备份分析和时间线重建,仍可发现其蛛丝马迹。这再次证明,数字取证在现代网络安全中不可或缺。
防御建议:
及时更新系统:尽管攻击者可能阻止更新,但仍应尽可能保持系统为最新版本。
启用备份加密:防止备份文件被第三方滥用。
监控异常网络行为:特别是对iCloud和未知域名的HTTPS流量。
使用MVT等工具定期审计:尤其适用于高风险人群或企业设备。
“三角定位”行动自2019年已存在,至今仍在活跃,受影响设备最晚至iOS 15.7版本。这提醒我们,移动安全远非“绝对安全”,持续的监控与响应机制至关重要。