卡巴斯基報告：間諜軟件攻擊鏈使用瞭此前未知的 iPhone 硬件功能

導 讀

卡巴斯基研究人員表示，他們發現瞭一個不起眼的硬件功能，該功能很可能在之前報道的針對 iPhone 用戶的間諜軟件攻擊中被黑客利用。

這份新的報告（https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/）是研究人員對一項名為“Operation Triangulation（三角測量行動）”調查報告（https://securelist.com/trng-2023/）的更新。

研究人員表示，黑客自 2019 年以來一直活躍，通過發送帶有惡意附件的 iMessage 信息並利用四個0day安全漏洞來攻擊卡巴斯基目標。

俄羅斯政府將這次行動歸咎於美國，聲稱美國入侵瞭“數千部蘋果手機”來監視俄羅斯外交官。蘋果否認瞭這些說法，卡巴斯基也沒有將Operation Triangulation（三角測量行動）歸因於任何政府或已知的黑客組織

卡巴斯基的新發現與追蹤為CVE-2023-38606 的已修補漏洞有關。蘋果公司在 7 月份修復瞭這個缺陷，並表示該公司“知道有報告稱這個問題可能已被積極利用”。

研究人員表示，黑客使用瞭不起眼的硬件功能來覆蓋旨在保護內核的基於硬件的安全性——內核是操作系統的核心部分，除其他外，它在軟件和硬件之間提供瞭橋梁。

“如果我們嘗試描述此功能以及攻擊者如何利用它，那麼一切都可以歸結為：他們能夠將數據寫入某個物理地址，同時通過寫入數據、目標地址來繞過基於硬件的內存保護，並將數據散列到固件未使用到的芯片的某個未知寄存器中。”研究人員表示。

研究人員表示，之前未知的硬件功能很可能是蘋果工程師或工廠用於調試或測試的目的，或者被錯誤地包含在 iPhone 的最終消費者版本中。

報告稱：“由於固件未使用此功能，因此我們不知道攻擊者如何知道並如何使用它。”

在對 Recorded Future News 的評論中，蘋果發言人沒有提供有關卡巴斯基新發現的更多細節。

三角測量行動的攻擊鏈

以下是此 0 點擊 iMessage 攻擊的簡要概述，包括13個獨立的要點。該攻擊使用瞭四個0day漏洞，設計用於 iOS 16.2 及更高版本的 iOS 版本。

攻擊者發送惡意 iMessage 附件，應用程序會在不向用戶顯示任何跡象的情況下處理該附件。

此附件利用瞭未記錄的 Apple 獨有的 ADJUST TrueType 字體指令中的遠程代碼執行漏洞CVE-2023-41990 。該指令自九十年代初就已存在，後來被補丁刪除。

它使用面向返回/跳轉的編程和用 NSExpression/NSPredicate 查詢語言編寫的多個階段，修補 JavaScriptCore 庫環境以執行用 JavaScript 編寫的權限升級漏洞。

此 JavaScript 漏洞被混淆，使其完全不可讀並最小化其大小。盡管如此，它仍然有大約 11,000 行代碼，主要用於 JavaScriptCore 和內核內存解析和操作。

它利用 JavaScriptCore 調試功能 DollarVM ($vm) 來獲得從腳本操作 JavaScriptCore 內存並執行本機 API 函數的能力。

它旨在支持新舊 iPhone，並包含一個指針身份驗證代碼 (PAC) 繞過功能，可用於利用最新型號。

它利用XNU 內存映射系統調用（mach_make_memory_entry 和 vm_map）中的整數溢出漏洞CVE-2023-32434來獲取用戶級別對設備整個物理內存的讀/寫訪問權限。

它使用硬件內存映射 I/O (MMIO) 寄存器來繞過頁面保護層 (PPL)。此問題已通過CVE-2023-38606得到緩解。

利用所有漏洞後，JavaScript 漏洞可以對設備執行任何操作，包括運行間諜軟件，但攻擊者選擇：(a) 啟動 IMAgent 進程並註入有效負載，以清除設備中的漏洞利用痕跡；(b) 以不可見模式運行 Safari 進程，並將其轉發到下一階段的網頁。

該網頁有一個腳本來驗證受害者，如果檢查通過，則接收下一階段：Safari 漏洞利用。

Safari 漏洞利用CVE-2023-32435來執行 shellcode。

shellcode 以 Mach 目標文件的形式執行另一個內核漏洞利用。它使用相同的漏洞：CVE-2023-32434和CVE-2023-38606。它的大小和功能也很大，但與用 JavaScript 編寫的內核漏洞完全不同。與利用上述漏洞相關的某些部分是兩者共有的。盡管如此，它的大部分代碼也致力於解析和操作內核內存。它包含各種後期利用實用程序，但大部分未使用。

該漏洞利用獲得根權限並繼續執行其他階段，加載間諜軟件。我們在之前的文章（https://securelist.com/trng-2023/）中介紹瞭這些階段。

我們幾乎已經完成瞭該攻擊鏈各個方面的逆向工程，明年我們將發佈一系列文章，詳細介紹每個漏洞及其利用方式。

卡巴斯基研究人員在報告中表示，“我們還無法完全理解某一特定漏洞的某些方面。”相對於卡巴斯基多年來的類似發現， 研究人員說：“這絕對是我們見過的最復雜的攻擊鏈。”

結論

這不是普通的漏洞，我們還有許多未解答的問題。我們不知道攻擊者是如何學會使用這種未知的硬件功能的，也不知道其最初的目的是什麼。我們也不知道它是由 Apple 開發的還是像 ARM CoreSight 這樣的第三方組件。

我們所知道的（以及此漏洞所表明的）是，隻要存在可以繞過這些保護的硬件功能，那麼面對老練的攻擊者，基於硬件的高級保護就毫無用處。

硬件安全通常依賴於“通過模糊實現安全”，並且逆向工程比軟件困難得多，但這是一種有缺陷的方法，因為遲早所有秘密都會被泄露。依賴“通過默默無聞實現安全”的系統永遠不可能真正安全。

參考鏈接：https://therecord.media/operation-triangulation-iphone-spyware-unknown-hardware-feature