远程越狱控制苹果的方法再次被发现

今年夏天，作为Citizens Lab高级安全研究员的伯克利硕士Bill Marczak，偶然发现了苹果超级间谍软件Pegasus。美国《名利场》杂志以此为主线，采访事件相关人，揭露那些隐藏在人们生活暗处的间谍软件公司。

一、事情起因

Bill Marczak，一头棕色头发，留有标志性的胡须，伯克利大学计算机系硕士刚毕业，即将攻读博士学位。不像伯克利大多数研究生那样多话和夸夸其谈，他话不多，比较安静。Bill Marczak专注于中东地区民主人士与专制政权之间的网络攻击研究，他是这个新兴网络战领域的优秀分析师。同时，Marczak还是加拿大多伦多大学公民实验室(Citizens Lab)的高级研究员。 

事情发生在今年8月10日的晚上，BillMarczak和女友在埃尔塞里托简陋的公寓里熬夜收看着《星际迷航》的电视剧重播。睡觉前，Marczak像平常一样，习惯性的看了一眼手机短信，他突然全身兴奋地大叫起来，“哦，天哪！”，女朋友诧异地问道“怎么了？”，Marczak说“我想我发现大事了！”。随后，他快速起身来到客厅打开电脑开始研究。

第二天早上，当女友起床时，Marczak还在电脑旁。他确实发现了件“大事”：阿联酋的一位人权活动家朋友给他转发了一条短信，短信包含了一个网络链接，点击该链接后，将会向iPhone手机隐秘植入一个超强的间谍软件。他正尝试着从该间谍软件中逆向出一部分底层代码，但由于难度太大，所以他决定把短信内容转发给网络安全公司Lookout的工程师进行协助分析。Lookout的办公室坐落于旧金山市区的摩天大楼内，从那里，可以看到金门大桥到奥克兰的全景。

二、分析发现

Lookout把任务交到了移动安全专家Andrew Blaich和来自乌克兰的代码研究员Max Bazaliy手上，Blaich急迫地问Bazaliy：“你觉得这是什么东西？”，Bazaliy一脸发懵，用他那厚重的乌克兰腔调回答到“还不清楚，但可以肯定的是，这非常严重。”
最终，两人用了将近一天的时间把这个恶意软件和其相关技术细节大致研究清楚。傍晚时分，Blaich和Bazaliy还在盯着代码分析，“太不可思议了，它能实现麦克风、邮件、短信等所有手机数据监听窃取，这绝对是有组织有目的的间谍软件。”，Blaich说道。而Bazaliy认为，这是他见过最厉害最完美的攻击代码。

Marczak发现的恶意软件涉及iOS系统的3个0-day漏洞，很难发现且前所未见。iOS用户点击短信内的链接后，攻击者就会利用这3个漏洞，对用户实现“远程越狱”，并安装持久化间谍软件。

 

三、远程越狱控制苹果早已有之

曾几何时，网络战武器一直被强力国家机构用于复杂的网络战较量中，如NSA、以色列和俄罗斯等，如2013年斯诺登曝光的大规模监控丑闻，让人震惊。虽然大部分普通公民认为，只要自己不是罪犯或间谍，类似监控事件似乎永远不可能发生在自己身上，但这仅只是个人认为而已。自斯诺登事件以来，甚至更早以前，网络安全专家就发现，少数隐秘的安全公司已经研发并向一些特殊机构高价销售其“政府级”间谍软件。

众所周知，iOS远程越狱不但能实现远程对苹果设备的破解，还能对目标iOS系统进行远程控制并安装任意软件，对黑客来说，这简直就是完美梦想：能实时监控用户通信、监听麦克风、记录通话内容等。

在Marczak发现该恶意软件之前的两个星期，中国的盘古团队公布了针对iOS 9.2和9.3.3的非完美越狱，这是最近5个月内的首个公开的越狱方法。但是对于那些研究苹果设备的黑客来说，“远程越狱”才是最完美的破解目标。在早期的iOS系统中，jailbreakme工具可以实现一些版本的远程越狱；2015年9月，安全公司Zerodium以100万美元的悬赏实现了对iOS 9.1和iOS 9.2的远程越狱。

今年8月，在Marczak和Lookout的研究发现之后，苹果公司确认：在“野生的”网络攻击环境中存在一种真实的远程越狱方法。然而让人吃惊的是，这种远程越狱方法已经存在了多年。

Lookout安全研究副总裁 Mike Murray说，“这简直就是一个詹姆斯·邦德的故事，这是真实世界中网络军火商与个人异见者的典型案例，在这之前，网络武器还未被发现用来对付相关个体。Lookout研究员Seth Hardy强调，这就像隐形轰炸机，你虽然知道它的存在，但是不知道什么时候它会对你进行轰炸。

四、0-day漏洞  网络军火商的最爱

如今，最有价值的黑客武器就是0-day漏洞，对于黑客来说，对于0-day漏洞的保密最为重要，一旦其攻击代码被曝光，无论是微软、苹果等其它涉及漏洞的公司将会立即释放更新补丁，让攻击代码毫无用处。Seth Hardy说，黑客要么对自己手上的0-day漏洞极为保密，要么把它们用来进行黑市交易。

2010年，0-day漏洞交易在黑市极为活跃，这一切还要从法国安全研究公司VUPEN说起，当时，VUPEN对单个0-day漏洞的赏金和销售价格一度达到了25万美金，尽管其对外坚称的目的是为了使软件行业更安全，但许多人对此非常质疑，而像HP和微软都曾出钱向VUPEN购买其受影响产品的漏洞。此后，漏洞交易和漏洞众测业务的概念迅速在安全市场兴起。而对于许多白帽黑客来说，虽然其挖掘的一些漏洞赏金远远不及VUPEN那样高昂，但这也催生了一条即不违法但又能赚钱的途径，另外，有些黑客还可能因此从事利润丰厚的安全咨询工作。

“VUPEN对0-day漏洞的销售导致了黑客领域的一个分水岭。如果你手头有0-day漏洞，你会把它们卖个高价钱还是愿意保持沉默？显而易见，很多黑客会把它卖掉，只有极少数真正的黑帽黑客不会这样做”，Hardy说。

在如今的黑市中，你不知道谁才是真正的漏洞卖家，但人们会普遍怀疑政府才会通过这种高科技手段对公民进行监控。美国公民自由联盟（ACLU）的技术专家Chris Soghoian说，“在2011到2012年期间，市面上流行大肆吹嘘0-day漏洞的价格，而一些使用0-day漏洞对民主人士进行监控的政府机构却不愿对此承认，这或许是0-day漏洞由明转暗的一个市场转折点。” 

 

2012年，《福布斯》报道了一名身处泰国，在业内化名“TheGrugq”的南非籍安全研究员，他在黑客朋友与政府买家间牵线搭桥，从每笔交易总额中收取15%的佣金。他向记者透露，到2012年底的时候，他已经赚到了大约100万美元的佣金，出价最高的通常为美国政府部门或欧洲政府部门。媒体还刊登了一张他拍摄于曼谷某酒吧的照片，照片中，他的脚边放着一个装满现金的小背包，显然是某个卖家付给他的佣金。The Grugq 在Twitter上被称为“网络军火商”。Soghoian说，这或许是一个里程碑，因为在此之前还没有对黑客军火商的相关公开报道，这让这个行业备受关注。同时，也为黑客向政府贩卖漏洞工具的社会认可起到了一些宣传作用。

五、Bill Marczak与间谍软件的不解之缘

Bill Marczak刚上研究生时的方向是大数据分析，对网络安全行业了解甚少。Marczak出生于纽约，由于父亲从事国际金融行业，全家曾从纽约辗转香港，再到后来的巴林，在那里，Marczak度过了自己的高中时代。2010年，在阿拉伯之春的浪潮下，巴林成为了一个暴动地区，在伯克利上学的Marczak通过互联网了解到了政府对民众的暴力镇压，于是，他开始以写博客的方式来参与了这场民主运动。2012年，他与另外两名人权活动家成立了名为“巴林观察”的网络组织。

转变发生在2012年5月，Marczak在巴林的同事都收到了一封来自不明身份记者的可疑邮件，Marczak和来自Citizen Lab的安全研究者Morgan Marquis-Boire共同对这封邮件进行了分析。分析发现，邮件附件的word文档会向受害者电脑或手机植入秘密的间谍监控程序，经过对可疑程序的深入挖掘研究，他们发现了一个在程序代码中被反复引用的单词“FinSpy”。

很快，他们便发现FinSpy间谍程序的另外一个名称“FinFisher”，一款由英国安全监控公司Gamma Group开发销售的一体化间谍软件，Gamma Group声称FinSpy是合法监控工具，主要用于政府犯罪和间谍执法工作。而据去年某些民主人士曝料的文件显示，埃及政府曾出价353,000美元采购了FinFisher软件监控异议人士，这些发现表明，Gamma的软件产品不只针对特定的政府执法，还被用到针对异见者的监控活动中。Marczak和Citizen Lab最终研究发现，全球25个国家都发现了FinSpy感染的踪迹，而Gamma公司却矢口否认，声称那些软件只是被窃取的程序副本。

 

六、包括美国政府机构在内的一些政府机构是间谍软件大用户

同时，安全公司Rapid7的研究员Claudio Guarnieri通过对FinFisher的代码进行分析后发现，FinFisher的C&C服务器IP地址只要被执行ping命令之后，都会附带一个奇怪的回应：Hallo Steffi，于是，Guarnieri便以此为出发点开发了一个程序探测互联网上作此回应的服务器，数周后，Guarnieri发现在10多个国家都存在此类服务器，其中中东地区国家尤为广泛，包括卡塔尔、埃塞俄比亚和阿联酋等。

然而，有很多安全公司和Gamma一样，在我们看不见的阴暗处。2012年7月，就在Citizen Lab发布对FinSpy的报告之后几天，摩洛哥维权组织Mamfakinch就发文声称，他们收到了一封可疑的钓鱼邮件，该邮件与阿联酋民主人士Ahmed Mansoor曾经收到的钓鱼邮件高度相似，都会向电脑植入键盘和应用程序监控的间谍程序。

俄罗斯杀毒软件公司Dr Web经过分析，确认Mamfakinch和Mansoor的电脑设备上被植入了意大利Hacking Team公司的间谍软件。与Gamma不同，Hacking Team由两个意大利程序员于2003年成立，在安全圈小有名气，可以算是第一批销售商业黑客工具和监控产品的安全公司，它的早期软件曾被米兰警方大规模用于民众监控。Hacking Team在美国在内的三个国家都设有办事处，随着其不断的市场拓展，已经成为全球知名的网络武器经销商。Hacking Team的客户包括各国执法机构，以及联合国武器禁运（NATO)清单上的国家，包括摩洛哥、阿联酋政府等。

比较讽刺的是，后来名为“Phineas Fisher”的黑客在网上泄露了HackingTeam 400多G的内部文件，这些文件中曝光的邮件记录和合同发票显示，HackingTeam的客户包括摩洛哥、马来西亚、沙特阿拉伯、乌干达、埃及、阿曼、土耳其、乌兹别克斯坦、尼日利亚、埃塞俄比亚、苏丹、哈萨克斯坦、阿塞拜疆、巴林、阿尔巴尼亚等大部分中东国家，以及三个美国执法机构：FBI、DEA、DoD。

Chris Soghoian说，Hacking Team被黑事件影响很大，因为在这之前研究人员只能通过FinFisher的C&C服务器来作出间接判断，并没有其它确凿证据。尽管曝光事件发生后，Hacking Team的业务量有所减少，但对整个间谍软件和监控行业的影响不是太大，其它秘密安全公司一直在不断扩展业务，像Gamma的全球市值已经超过50亿美元。

Hacking Team数据泄露事件之后一个月，由VUPEN共同投资人成立的Zerodium公司对外悬赏100万美金征集iOS远程越狱工具。在Zerodium公布赏金之后的几天，中东之眼的伦敦人权作者Rori Donaghy收到了一封钓鱼邮件，他把邮件转发给了Marczak。邮件大致内容为邀请参加名为“斗争权利”（the Right to Fight）的论坛会议，在其中包含了一个下载执行word文档的网页链接，点击链接执行word文档后，将会向电脑隐秘植入间谍软件。Marczak经过分析确认，很多波斯湾地区的民主人士都受到了同样钓鱼邮件的攻击，之后，Marczak和Citizen Lab把这波攻击命名为：Stealth Falcon。

Marczak分析发现邮件发送服务器涉及数百个IP地址，每个IP都具有包含虚假注册信息的特定域名。另外，这些域名中有三个假冒阿拉伯新闻网站，并且都包含有“SMSer.net”字段，Marczak通过域名比对发现有120多个移动公司域名与此类似，大部分以色列街道名称与这些域名字段相关。

 

Marczak回忆说，那时他高度怀疑是NSOGroup,但没有明确证据。作为一家以色列间谍软件监控公司，NSO Group没有官方网站，非常低调，曾把其公司的某项控股权以1亿两千万美元卖给旧金山某私募基金。第二年初，在Citizen Lab实验室，他发现Stealth Falcon前后从67个不同服务器上进行部署攻击，有400多名全球受害者，在24名阿联酋受害者中，至少有三人在遭到间谍软件攻击开始不久后被捕；另一人被判因侮辱阿联酋统治者罪名。但是在Citizen Lab对外发布的报告中，并没有提到NSO Group。

七、Marczak的调查过程

8月10日，Marczak在伯克利收到的邮件来自阿联酋异见者Ahmed Mansoor，他被控侮辱当局政府，并因此受到监禁殴打和没收护照，他的车莫名其妙被偷，银行账户被置空。

非常让Marczak兴奋的是，Mansoor转发给他的钓鱼邮件中包含了一个域名“sms.webadv.co”，他突然想起来这与Stealth Falcon攻击事件中他怀疑是NSO公司，用来进行邮件发送和控制回连的域名高度相似。在客厅里，Marczak用程序把电脑模拟成手机客户端，对钓鱼邮件植入的间谍软件进行监测。

当Marczak点击了钓鱼邮件链接之后，他的Safari浏览器出现了闪退现象，在此监测过程中，他发现了间谍软件成功利用Safari浏览器实施了第一阶段感染行为。由于Marczak 使用Ios 9.3.3进行模拟测试，而在Ios 9.3.4中，Safari没有任何更新，Marczak敏锐地意识到这是一个0-day漏洞。当深入研究植入间谍软件释放的相关javascript时，大部分都是加密代码，非常难懂，令人费解，在Citizen Lab协调下，Marczak找到了手机安全架构的顶级供应商LookOut。

LookOut于2007年由三位南加洲大学的安全成立，JohnHering，Kevin Mahaffey和JamesBurgess。成立初期，他们曾发现了Nokia3610手机蓝牙连接无线耳机的一个漏洞，漏洞对数百万部手机造成影响，当他们告知Nokia时，Nokia却以蓝牙通信超出30英尺范围内将受限制为由，拒绝对漏洞作出修补。出于不服，他们开发了一款名为“BlueSniper rifle”的蓝牙范围扩大嗅探器，并把它带到了2005年奥斯卡颁奖礼现场，结合漏洞，他们轻易获取到了很多娱乐圈名流的个人手机信息。最终，Nokia总算屈服了。

LookOut的Seth Hardy回忆道，“Marczak在一大早打电话给我，告诉我通过这个链接结合0-day漏洞可以向iPhone植入间谍程序，那时候，我想，这非常罕见，出大事了。”

Hardy首先想到了LookOut 29岁，来自基辅理工学院的硕士生Max Bazaliy，他是公司唯一一个对越狱有深入研究的人。于是MaxBazaliy和Andrew Blaich共同对Marczak发来的捕获代码展开研究。电脑屏幕上，1400多行彩色代码像是一大团沙拉酱，让人头晕。LookOut安全研究负责人Mike Murray说，“当时事态非常严重，但我们不确定真正的原因，最终，我们选择按最坏的场景-远程越狱来分析”。

八、间谍软件代码分析

许多间谍软件分三个阶段执行恶意行为，第一阶段为感染渗透目标用户设备，第二阶段为执行监控准备，最后，通过远程控制服务器下载安装间谍程序包，一些分发和配置行为也在此阶段完成。LookOut工程师最后分析认为，间谍程序使用了Safari的0-day漏洞。Mike Murray说，通过此0-day漏洞，可以攻击渗透世界上任何一部苹果的设备。

Marczak发现的代码被完全加密混淆，Blaich 和Bazaliy花了几个小时才把间谍程序的各个组件识别出来，之后，找到了程序执行监控行为的入口，但是，由于Marczak在间谍程序还未被完全植入之后就切断了网络连接，更糟糕的是，Marczak点击的钓鱼链接还是“一次性使用”的链接。

但是，Blaich 和 Bazaliy认为可以通过程序第一阶段代码中的URL信息追溯到远程C&C服务器，但当他们把疑似C&C地址分析出来时，却发现IP被限制访问，最终他们通过VPN方式连接上了这个C&C地址。

Bazaliy回忆到，“还有一个问题就是，它看起来是一种加密的越狱方式，但我们当时完全不知道它的解密算法”。

他们花了几个小时寻找解密方法，最终意识到了真正的答案：程序的第一阶段行为需要知道解密方法，才能实施第二阶段植入！于是，他们在第一阶段的大量代码中慢慢拼凑出了完整的解密方法。

Mike Murray解释说，iPhone和其它系统程序都会通过“随机化”应用来保护内核，黑客越狱需要准确捕捉到其内核地址，而程序第二阶段的代码行为总是在寻找内核程序，原因只有一个，它想尝试进行越狱。

令他们吃惊的是，该间谍程序的子程序中还包含了另外一个0-day漏洞，两个0-day漏洞同时出现在一个可疑程序中，这非常罕见。虽然Bazaliy断定这是远程越狱，但因为没有第三阶段代码，而点击链接又是失效状态，所以不能明确证明，分析一度陷入停滞状态。

九、意外转机

意外的是，没过几天，Marczak就又从Mansoor那里收到了另外一封类似的转发邮件，令人难以置信的是，其中又包含了一个sms.webadv.co的网页链接。Marczak觉得阿联酋政府如此盲目自大，非常明目张胆。

这一次，Marczak不想错过任何机会。他意识到Mansour使用的是运行iOS 9.3.3的iPhone 5，如果使用其它版本的系统来监测间谍程序，可能会出现异常，之后，Marczak便开始在伯克利实验室寻找iOS9.3.3的iPhone手机，最终，一个同事把他女朋友搁置的专门用来听音乐的iPhone5手机拿给了Marczak。

第二天早上，Marczak在实验室里搭建了一个无线网络，把清除数据的手机和笔记本电脑接入网络，为了便于观察，他把手机系统网络运行流量监测窗口转换到了笔记本电脑，并用VPN把网络设置为阿联酋地区的IP地址。Marczak屏住呼吸把钓鱼邮件链接粘贴到了手机的Safari浏览器中，点击运行，短暂的10秒之后，Safari出现了闪退，Marczak高兴地大叫起来。然而，他意识到，此时可能一个恶意程序已经被植入到了手机中，下一步，恶意程序可能会对手机实行“远程越狱”操作，这对普通黑客来说，从来没人亲眼见过。

突然，几行对手机进行入侵的彩色代码出现在了电脑屏幕上，Marczak回忆到，“当时手机没有一点异常反应，如果第一阶段是执行exploit的话，这一阶段应该是突破内核保护，实现远程越狱，真正植入监控程序的过程”，一切没有出乎竟料，当所有攻击代码执行完毕后，网络监测窗口显示，手机正试图与一个阿联酋政府控制的服务器IP进行联系，但其网络连接似乎并没有成功。Marczak只好把此次捕获的相关代码发送给了LookOut公司共同研究，随后，他们在逆向过程中发现，间谍软件开发者在攻击代码中暴露了很多“Pegasus Protocol”字符串，他们追踪到了试图与手机通讯的服务器 IP 地址，并匹配到了 Stealth Falcon 的基础设施中也包含这一服务器和 IP 地址，更巧的是，他们发现一位 NSO 员工注册的域名也指向同一IP 地址。所有迹象都明显指向以色列的间谍软件公司NSO，而此次被发现的间谍程序也被Citizen Lab和LookOut共同命名为“Pegasus”。

 

Mike Murray说，Pegasus几乎能执行所有监控功能，在这之前，绝无仅有。而Blaich则强调，中招Pegasus后，手机可能会出现耗电量增加的情况，持续耗电一段时间后，Pegasus还会自动关闭程序，有时，它甚至会等待手机连接到WI-FI之后，才会向外传输大容量数据，非常智能。

LookOut认为苹果用户面临极大的安全风险，在公司内部商议之后，决定立刻联系苹果公司。而据Hardy回忆，他们刚开始联系苹果公司，有点搞笑，当告知了苹果设备存在远程越狱的信息后，苹果公司却趾高气扬地作出回应“是的，是的，这些我们之前就有所了解，你们说的是什么？”，当LookOut把部分漏洞报告发送过去后，几个小时之后，苹果公司回了电话，表示这非常严重，并要求LookOut把所有相关细节发送给他们。最终，苹果公司用了 10 天时间来开发补丁，并及时把更新加入到 iOS9.3.5的升级包中。

这是一个繁杂而又振奋人心的故事，在与黑客的较量中，苹果和其它电子设备制造商可能正在慢慢输掉这场斗争。就像最近发生的僵尸网络DDoS攻击一样，我们永远也无法想像黑客的下一个究竟目标是什么。

原文始发于微信公众号（丁爸 情报分析师的工具箱）：远程越狱控制苹果的方法再次被发现