2021年7月,以色列间谍软件“监听门”事件成为国际焦点。这款间谍软件以Pegasus(“飞马”)命名, 由以色列公司NSO Group开发,它可以秘密安装在运行大多数版本的iOS和Android的手机(和其他设备)上。“飞马”攻击事件经媒体曝光后,国际舆论一片哗然,在国际社会引起轩然大波,影响巨大,是2021年最大的新闻之一。
文:卡巴斯基GReAT全球总监,Costin Raiu
2021年最大的新闻之一,卫报和其他16家媒体组织于7月中旬发表的一项调查表明,全球30,000多名人*活动家、记者和律师可能已成为使用Pegasus(飞马)的目标。目标个人名单包括世界领导人和许多活动家、人*倡导者、持不同*见者和反对派人物。这份名为Pegasus(飞马)项目的报告称,该恶意软件通过各种漏洞广泛部署,包括多个iOS零点击零日漏洞。
根据对众多移动设备的取证分析,国际特*组织(Amnesty International)的安全实验室发现该软件被反复以滥用方式用于监视。在过去的一年里,以色列政府的代表访问了NSO的Herzliya办公室以调查这些指控,印度最高法院委托一个技术委员会调查国家政府使用Pegasus监视本国公民的行为。11月,Apple宣布将对NSO Group采取法律行动,因为NSO Group开发了针对其用户的“恶意恶意软件和间谍软件”软件。去年12月,路透社报道称,美国国务院的几部iPhone被NSO Pegasus恶意软件入侵。
检测Pegasus(飞马)和其他高级移动恶意软件的感染痕迹非常棘手,并且由于iOS和Android等现代操作系统的安全功能而变得复杂。根据我们的观察,非持久性恶意软件的部署进一步掩盖了这一点,重新启动后几乎没有留下任何痕迹。许多取证框架需要设备越狱,这会导致恶意软件在重新启动期间从内存中删除,从而破坏证据。目前,有几种方法可以检测Pegasus(飞马)和其他移动恶意软件。免费的开源MVT(移动验证工具包)国际特赦组织允许技术专家和调查人员检查手机是否有感染迹象。国际特赦组织从备受瞩目的案例中收集并提供了一系列妥协指标 (IoC),进一步推动了MVT。
国际特*组织(Amnesty International)报告称,以色列公司NSO Group的“法律监控软件/legal surveillance software”Pegasus(飞马)已被用于监控世界各地的人权活动家、记者和律师,截至去年11月,在萨尔瓦多(El Salvador)属于35名记者的37台设备上发现了这种软件。
萨尔瓦多共和国(西班牙语:República de El Salvador),通称萨尔瓦多,是位于中美洲北部国家,为中美洲唯一不靠大西洋之国家,全国面积21,393平方千米。该国西北邻接危地马拉,东北与洪都拉斯交界,西面滨临太平洋,东南邻近丰塞卡湾。
在过去的几个月里,我收到了来自世界各地相关用户的很多问题,关于如何保护他们的移动设备免受Pegasus(飞马)和其他类似工具和恶意软件的影响。首先,您必须明白,任何防御技术的清单都不可能是详尽的。此外,随着攻击者改变他们的作案手法,防御技术也需要适应。
我们首先应该说,Pegasus(飞马)是一个以相对较高价格出售给国家的工具箱。全面部署的成本可能很容易达到数百万美元。同样,其他高级持续性威胁(APT)移动恶意软件也可以通过零点击的零日漏洞进行部署。这些也是非常昂贵的,例如,Zerodium,一家漏洞经纪公司,为一个具有持久性的安卓零点击感染链支付高达250万美元。
从一开始,我们就得出了一个重要的结论 - 国家资助的网络间谍活动是一项资源密集型的工作。当一个威胁行为体有能力在他们的攻击性项目上花费几百万、几千万、甚至几亿美元时,目标就很难避免被入侵。说得直白一点。这不是一个你是否被入侵的问题,这只是一个在你被入侵之前的时间和资源问题。
好消息是,漏洞利用开发和进攻性网络战往往更像是一门艺术,而不是一门精确的科学。漏洞需要针对特定的操作系统版本和硬件进行调整,而且它们很容易被新的操作系统、新的缓解技术,甚至是小的随机事件所阻止。
考虑到这一点,避免被入侵也可以归结为使攻击者的事情变得更昂贵和困难。虽然我们不一定能阻止我们的移动设备被成功利用和感染,但我们可以尽可能地让攻击者感到困难。
我们如何在实践中做到这一点?这里有一个简单的检查表:
1.苹果iPhone手机等(Apple iOS)
每天重启一次手机。根据 Amnesty和CitizenLab的研究,Pegasus感染链通常依赖于零点击零日漏洞,没有持久性,因此定期重启有助于清洁设备。如果设备每天重新启动,攻击者将不得不一遍又一遍地重新感染它。随着时间的推移,这会增加被发现的机会;可能会记录下崩溃或工件,从而暴露隐蔽感染的性质。这不仅仅是理论,而是实践。我们分析了一个移动设备通过零点击漏洞攻击(可能是 FORCEDENTRY)的案例。设备所有者定期重新启动他们的设备,并在攻击后的24小时内重新启动。攻击者试图再针对他们几次,但在通过重启被踢了几次后最终放弃了。
禁用iMessage和Facetime。iMessage内置于iOS系统中,并在默认情况下启用,使其成为一个有吸引力的利用载体。因为它是默认启用的,所以它是零点击链的一个顶级交付机制。多年来,iMessage漏洞的需求量很大,漏洞经纪公司的报酬最高。"在过去的几个月里,我们观察到iOS漏洞的数量在增加,主要是Safari和iMessage链,被来自世界各地的研究人员开发和出售。Zerodium的创始人Chaouki Bekrar早在2019年就向《连线》写道:"零日市场被iOS漏洞充斥,我们最近开始拒绝一些(其中的)漏洞。我们意识到这对一些人来说可能非常困难(后面会有更多),但如果Pegasus和其他高端APT移动恶意软件在你的威胁模型中,这是一个值得采取的权衡。
安装更新。最新的iOS补丁一出来就立即安装。并非所有的攻击者都具备零点击零日漏洞的能力;我们看到的许多iOS漏洞工具包都是针对已经打过补丁的漏洞。然而,许多人使用旧手机,并由于各种原因推迟了更新。如果你想领先于(一些)国家的黑客,请尽快更新。
永远不要点击通过短信/SMS消息收到的链接。这是一个简单的建议,但很有效。为了节省零点击链的成本,许多黑客依赖一次点击攻击。这些以信息的形式到达,有时是通过短信,但也有通过其他信使甚至电子邮件。如果你收到一条有趣的带有链接的短信(或任何其他信息),在台式电脑上打开它,最好使用TOR浏览器或一个安全的非持久性操作系统,如Tails。
使用Firefox Focus浏览器浏览互联网,避免使用Chrome和自带的Safari浏览器。尽管iOS上的所有浏览器几乎都使用相同的WebKit渲染引擎,但一些漏洞在一些备用浏览器上的效果并不好(见LightRighter / TwoSailJunk)。
始终使用一个能隐藏你的流量的VPN。一些漏洞是通过GSM运营商的中间人攻击,在浏览HTTP网站时或通过DNS劫持来传递的。使用VPN来隐藏流量,使你的GSM运营商难以通过互联网直接瞄准你。如果攻击者能控制你的数据流,如在漫游时,它也会使目标攻击过程复杂化。
安装一个安全应用程序,检查设备是否越狱并发出警告。由于被一遍又一遍地踢,攻击者最终会部署持久性机制并在此过程中越狱您的设备。这是捕获它们的机会增加十倍的地方,我们可以利用设备已越狱的事实。
每月进行一次iTunes备份。这使您可以通过使用来自Amnesty的精彩MVT包来诊断和发现感染。(https://github.com/mvt-project/mvt)
2.Android设备(如华为手机、小米手机等)
- 每天重启一次手机。在最新的安卓版本上的持久性是很难的;许多APT和漏洞卖家都避免任何持久性;
- 让您的手机保持最新状态。安装所有最新补丁;
- 永远不要点击短信中收到的链接;
- 使用Firefox Focus浏览器浏览互联网,避免使用Chrome和自带的Safari浏览器;
- 始终使用一个能隐藏你的流量的VPN;
- 安装一个安全应用程序,检查设备是否越狱并发出警告。
参考资料:
https://www.darkreading.com/dr-tech/how-to-protect-your-phone-from-pegasus-and-other-apts
https://www.darkreading.com/edge-articles/fighting-back-against-pegasus-other-advanced-mobile-malware
Last but not least. I wrote some more thoughts on the topic for the kind folks at @DarkReading. Including a quote from Chaplin's famous Dictator speech. Check it out: https://t.co/MXdIQ8J9Be
— Costin Raiu (@craiu) January 14, 2022
https://www.amnesty.org/en/latest/press-release/2021/07/the-pegasus-project/
https://www.wired.com/story/nso-group-pegasus-el-salvador/
推荐阅读:
往期精选
围观
热文
热文
原文始发于微信公众号(天御攻防实验室):记者、律师朋友们 - 如何防止您的手机被黑客入侵?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论