卡巴斯基报告：间谍软件攻击链使用了此前未知的 iPhone 硬件功能

卡巴斯基研究人员表示，他们发现了一个不起眼的硬件功能，该功能很可能在之前报道的针对 iPhone 用户的间谍软件攻击中被黑客利用。

这份新的报告（https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/）是研究人员对一项名为“Operation Triangulation（三角测量行动）”调查报告（https://securelist.com/trng-2023/）的更新。

研究人员表示，黑客自 2019 年以来一直活跃，通过发送带有恶意附件的 iMessage 信息并利用四个0day安全漏洞来攻击卡巴斯基目标。

俄罗斯政府将这次行动归咎于美国，声称美国入侵了“数千部苹果手机”来监视俄罗斯外交官。苹果否认了这些说法，卡巴斯基也没有将Operation Triangulation（三角测量行动）归因于任何政府或已知的黑客组织

卡巴斯基的新发现与追踪为CVE-2023-38606 的已修补漏洞有关。苹果公司在 7 月份修复了这个缺陷，并表示该公司“知道有报告称这个问题可能已被积极利用”。

研究人员表示，黑客使用了不起眼的硬件功能来覆盖旨在保护内核的基于硬件的安全性——内核是操作系统的核心部分，除其他外，它在软件和硬件之间提供了桥梁。

“如果我们尝试描述此功能以及攻击者如何利用它，那么一切都可以归结为：他们能够将数据写入某个物理地址，同时通过写入数据、目标地址来绕过基于硬件的内存保护，并将数据散列到固件未使用到的芯片的某个未知寄存器中。”研究人员表示。

研究人员表示，之前未知的硬件功能很可能是苹果工程师或工厂用于调试或测试的目的，或者被错误地包含在 iPhone 的最终消费者版本中。

报告称：“由于固件未使用此功能，因此我们不知道攻击者如何知道并如何使用它。”

在对 Recorded Future News 的评论中，苹果发言人没有提供有关卡巴斯基新发现的更多细节。

三角测量行动的攻击链

以下是此 0 点击 iMessage 攻击的简要概述，包括13个独立的要点。该攻击使用了四个0day漏洞，设计用于 iOS 16.2 及更高版本的 iOS 版本。

• 攻击者发送恶意 iMessage 附件，应用程序会在不向用户显示任何迹象的情况下处理该附件。

• 此附件利用了未记录的 Apple 独有的 ADJUST TrueType 字体指令中的远程代码执行漏洞CVE-2023-41990 。该指令自九十年代初就已存在，后来被补丁删除。

• 它使用面向返回/跳转的编程和用 NSExpression/NSPredicate 查询语言编写的多个阶段，修补 JavaScriptCore 库环境以执行用 JavaScript 编写的权限升级漏洞。

• 此 JavaScript 漏洞被混淆，使其完全不可读并最小化其大小。尽管如此，它仍然有大约 11,000 行代码，主要用于 JavaScriptCore 和内核内存解析和操作。

• 它利用 JavaScriptCore 调试功能 DollarVM ($vm) 来获得从脚本操作 JavaScriptCore 内存并执行本机 API 函数的能力。

• 它旨在支持新旧 iPhone，并包含一个指针身份验证代码 (PAC) 绕过功能，可用于利用最新型号。

• 它利用XNU 内存映射系统调用（mach_make_memory_entry 和     vm_map）中的整数溢出漏洞CVE-2023-32434来获取用户级别对设备整个物理内存的读/写访问权限。

• 它使用硬件内存映射 I/O (MMIO) 寄存器来绕过页面保护层 (PPL)。此问题已通过CVE-2023-38606得到缓解。

• 利用所有漏洞后，JavaScript 漏洞可以对设备执行任何操作，包括运行间谍软件，但攻击者选择：(a) 启动 IMAgent 进程并注入有效负载，以清除设备中的漏洞利用痕迹；(b) 以不可见模式运行 Safari 进程，并将其转发到下一阶段的网页。

• 该网页有一个脚本来验证受害者，如果检查通过，则接收下一阶段：Safari     漏洞利用。

• Safari 漏洞利用CVE-2023-32435来执行 shellcode。

• shellcode 以 Mach 目标文件的形式执行另一个内核漏洞利用。它使用相同的漏洞：CVE-2023-32434和CVE-2023-38606。它的大小和功能也很大，但与用 JavaScript 编写的内核漏洞完全不同。与利用上述漏洞相关的某些部分是两者共有的。尽管如此，它的大部分代码也致力于解析和操作内核内存。它包含各种后期利用实用程序，但大部分未使用。

• 该漏洞利用获得根权限并继续执行其他阶段，加载间谍软件。我们在之前的文章（https://securelist.com/trng-2023/）中介绍了这些阶段。

我们几乎已经完成了该攻击链各个方面的逆向工程，明年我们将发布一系列文章，详细介绍每个漏洞及其利用方式。

卡巴斯基研究人员在报告中表示，“我们还无法完全理解某一特定漏洞的某些方面。”相对于卡巴斯基多年来的类似发现， 研究人员说：“这绝对是我们见过的最复杂的攻击链。”

结论

这不是普通的漏洞，我们还有许多未解答的问题。我们不知道攻击者是如何学会使用这种未知的硬件功能的，也不知道其最初的目的是什么。我们也不知道它是由 Apple 开发的还是像 ARM CoreSight 这样的第三方组件。

我们所知道的（以及此漏洞所表明的）是，只要存在可以绕过这些保护的硬件功能，那么面对老练的攻击者，基于硬件的高级保护就毫无用处。

硬件安全通常依赖于“通过模糊实现安全”，并且逆向工程比软件困难得多，但这是一种有缺陷的方法，因为迟早所有秘密都会被泄露。依赖“通过默默无闻实现安全”的系统永远不可能真正安全。

参考链接：https://therecord.media/operation-triangulation-iphone-spyware-unknown-hardware-feature