网站html下载器驻马店建设网站

网站html下载器,驻马店建设网站,湛江专业建站推荐,给别人做网站赚钱Part1 前言 大家好#xff0c;我是ABC_123。最近几天#xff0c;美国APT实施的苹果手机三角测量行动又成为大家关注的话题#xff0c;引发了大家对于苹果手机、Mac笔记本电脑的安全性问题的广泛讨论。此次行动利用了至少4个苹果系统的0day漏洞#xff0c;其使用…Part1 前言大家好我是ABC_123。最近几天美国APT实施的苹果手机三角测量行动又成为大家关注的话题引发了大家对于苹果手机、Mac笔记本电脑的安全性问题的广泛讨论。此次行动利用了至少4个苹果系统的0day漏洞其使用的后门会通过WebGL在粉色背景上绘制一个黄色三角形利用不同的手机设备在图形上渲染的微小差异来标识不同手机用户因而被称之为三角测量行动。如此隐蔽的三角测量行动是如何被发现的呢接下来ABC_123会连续发表几篇文章给大家详细讲解一下文末有技术交流群的加群方式。Part2 技术研究过程三角测量行动命名的来源经过溯源分析发现一旦三角测量行动攻击成功攻击者会通过 iMessage 的零点击方式向受害者的 iPhone 植入一个带有后门功能的附件。该后门利用一种名为 Canvas 的浏览器指纹识别技术通过 WebGL 在粉色背景上绘制一个固定形状的黄色三角形并通过内置代码读取像素数据、计算其哈希值。攻击者利用不同设备在图形渲染过程中产生的微小差异将其作为唯一特征用于识别和追踪各个受害者的设备。如下是三角测量后门所使用的部分代码展示了一种基于图形渲染结果的设备指纹采集技术不同的 GPU、驱动、浏览器与操作系统在渲染同一图形时会产生细微的像素差异进而生成可区分的指纹信息。context.bufferData(context.ELEMENT_ARRAY_BUFFER, l, context.STATIC_DRAW);context.useProgram(C);context.clearColor(0.5, 0.7, 0.2, 0.25);context.clear(context.COLOR_BUFFER_BIT);context.drawElements(context.TRIANGLES, l.length, context.UNSIGNED_SHORT, 0);C.L context.getAttribLocation(C, Z(VE));C.W context.getUniformLocation(C, Z(Zv));context.enableVertexAttribArray(C.L);context.vertexAttribPointer(C.L, 3, context.FLOAT, !1, 0, 0);context.uniform2f(C.W, 1, 1);context.drawArrays(context.TRIANGLE_STRIP, 0, 3);var h new Uint8Array(262144);context.readPixels(0, 0, 256, 256, context.RGBA, context.UNSIGNED_BYTE, h);data[xT] h[88849];data[jHWOO] h[95054];data[aRR] h[99183];data[ffJEi] h[130012];for (var p 0, _ 0; _ h.length; _) p h[_];data[WjOn] p;SIEM运营平台发现iPhone手机异常活动为保障内部员工的手机、平板等移动终端的安全接入该安全公司专门为此建立了一张独立的企业级 Wi-Fi 网络用于隔离移动设备与核心业务系统从而降低安全风险。同时这一独立网络也便于集中监控和分析移动终端的异常流量。在此基础上公司构建了 SIEM安全分析与监控系统对该移动网络进行持续监控与关联分析。通过该平台安全团队发现数部运行 iOS 系统的苹果手机存在异常活动迹象。尽管三角测量行动的后门程序对系统痕迹进行了大量清理但在导出设备备份时异常文件的时间戳仍成为分析突破口帮助调查人员锁定潜在入侵行为。制作iPhone手机离线备份在发现存在异常活动的苹果手机后应首先对目标手机进行完整备份。 备份可通过 iTunes 或命令行工具 idevicebackup2 实现。整个过程可能持续数小时期间可能需要多次输入设备的解锁密码以授权操作。若使用 idevicebackup2 创建备份可执行如下命令命令行中backup 为备份功能--full 表示执行完整备份$backup_directory 用于指定备份文件的保存路径。idevicebackup2 backup --full $backup_directory实际测试发现iPhone 生成的备份文件大小并不等同于设备的总存储容量而是仅包含已被占用的数据部分因此能够节省备份所需的存储空间。使用 MVT 分析iPhone备份内容接下来通过分析备份文件中的系统数据、时间线日志、消息记录及设备配置等内容可以寻找攻击者遗留的痕迹。为提高效率可安装并使用 Mobile Verification Toolkit 工具包进行自动化分析。安装完成后可使用 mvt-ios 或 mvt-android 命令对备份进行检测。MVT 内置了大量已知恶意软件的 IOC入侵指标能够帮助快速识别可疑文件、异常通信和潜在的攻击迹象。安装方法如下pip install mvt如果苹果手机所有者之前设置了备份加密常见情况备份副本将被加密MVT无法直接读取分析。在这种情况下必须先解密备份副本然后才能运行检查MVT内部调用 libimobiledevice 库完成解密工作mvt-ios decrypt-backup -p password -d $decrypted_backup_directory$backup_directory使用MVT解析iPhone备份内容可在解密后的备份目录上运行以下命令对 iOS 备份进行全面检测mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory或指定 IOC 规则文件执行分析mvt-ios check-backup --output /path/to/hasil /path/to/backup/udid/ --iocs pegasus.stix2该命令将运行 MVT 提供的所有检查项并在输出目录中生成多个 JSON 和 CSV 格式的结果文件需要重点关注名为 timeline.csv 的文件。分析完成后输出目录中会生成多个 JSON 格式的结果文件以及一个名为 timeline.csv 的时间线文件。其中JSON 文件记录了各类检测项的详细结果而 timeline.csv 文件则汇总了系统事件、文件操作与可疑行为的时间序列信息。发现可疑进程BackupAgent通过对 timeline.csv 文件的分析发现BackupAgent 是早期 iOS 系统中用于设备备份的进程自 iOS 10 起已被弃用并由 BackupAgent2 取代。因此在正常情况下当前版本的 iOS 设备中不应再出现 BackupAgent 进程的活动记录。与此同时日志中还出现了 DataUsage数据流量记录条目并显示该已弃用的 BackupAgent 进程存在网络通信行为这是一个很明显的异常现象。timestamp,module,event,details2022-09-13T10:04:11.890351Z,Datausage,IMTransferAgent/com.apple.datausage.messages,Bundle ID: com.apple.datausage.messages, ID: 127, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 76281896.0, WWAN OUT: 100956502.02022-09-13T10:04:54.000000Z,Manifest,Library/SMS/Attachments/65/05,MediaDomain2022-09-13T10:05:14.744570Z,Datausage,BackupAgent,Bundle ID: (empty), ID: 710, WIFI IN: 0.0, WIFI OUT: 0.0, WWAN IN: 734459.0, WWAN OUT: 287912.0三角测量行动是通过一条恶意的iMessage推送消息实现的零点击触发的。对其他有异常活动的苹果手机分析发现在可疑的BackupAgent进程出现之前系统日志会记录到一个名为IMTransferAgent的进程。该进程负责下载和解析iMessage的附件文件附件下载并执行后其内容会暂存在短信附件目录Library/SMS/Attachments中。攻击完成后恶意文件会被迅速删除以掩盖痕迹但删除操作会导致多个附件目录的 时间戳发生变化。发现可疑进程BackupAgent通过分析 timeline.csv 文件发现还发现一些可疑的行为一些系统关键配置文件如 com.apple.ImageIO.plist、com.apple.locationd.StatusBarIconManager.plist 和 com.apple.imservice.ids.FaceTime.plist在短时间内被修改或更新时间戳。上述文件分别用于管理图像处理、定位服务和 FaceTime 通信等核心功能通常不会在几分钟内频繁变动。如下日志所示在短短 1–2 分钟内该 iPhone 出现了一系列异常的 iMessage 数据活动及系统文件改动。在 iMessage 零点击漏洞触发并执行恶意代码后16:35:24 的 DataUsage 模块日志记录显示iMessage 后台进程通过蜂窝网络产生了大量数据收发疑似正在下载携带攻击载荷的恶意附件随后在 16:36:51多个系统关键配置文件如 ImageIO 等的时间戳被同时修改这一异常文件改动与前述可疑网络通信几乎同时发生疑似攻击行为所导致。2021-10-30 16:35:24.923368Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 31933.0, WWAN OUT: 104150.02021-10-30 16:35:24.928030Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945)2021-10-30 16:35:24.935920Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 47743.0, WWAN OUT: 6502.02021-10-30 16:35:24.937976Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946)2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain如下日志所示iPhone手机的消息附件目录 iMessage/SMS 出现了被修改或写入的痕迹但日志未记录具体的文件名。紧接着系统中与浏览器引擎相关的进程 com.apple.WebKit.WebContent 产生了大量网络通信活动随后StatusBarIconManager.plist 等系统配置文件被改动该文件与设备的定位服务及状态栏显示有关。上述事件在 1 至 3 分钟内相继发生这一连续的时间关联和行为模式暗示该苹果手机可能遭遇了一次成功的 “零点击”攻击利用。2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98 - MediaDomain2022-09-11 19:52:56.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:53:10.000000Z Manifest Library/SMS/Attachments/98/08 - MediaDomain2022-09-11 19:54:51.698609Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 77234150.0, WIFI OUT: 747603971.0 - WWAN IN: 55385088.0, WWAN OUT: 425312575.02022-09-11 19:54:51.702269Z Datausage com.apple.WebKit.WebContent (Bundle ID: , ID: 1125)2022-09-11 19:54:53.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:21:36.000000Z Manifest Library/SMS/Attachments/ad - MediaDomain2022-06-26 18:21:50.000000Z Manifest Library/SMS/Attachments/ad/13 - MediaDomain2022-06-26 18:22:03.412817Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 19488889.0, WIFI OUT: 406382282.0 - WWAN IN: 66954930.0, WWAN OUT: 1521212526.02022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain2022-06-26 18:22:16.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc - MediaDomain2022-03-21 21:37:55.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:08.000000Z Manifest Library/SMS/Attachments/fc/12 - MediaDomain2022-03-21 21:38:23.901243Z OSAnalyticsADDaily com.apple.WebKit.WebContent WIFI IN: 551604.0, WIFI OUT: 6054253.0 - WWAN IN: 0.0, WWAN OUT: 0.02022-03-21 21:38:24.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain手机iOS无法安装更新一个最直观的异常现象是iPhone手机无法正常安装系统更新。这是因为三角测量行动的恶意附件会主动阻止 iOS 系统升级其内置的后门程序会篡改系统关键设置文件 com.apple.softwareupdateservicesd.plist从而干扰更新进程。受影响的设备在尝试安装系统更新时会反复出现提示“软件更新失败下载 iOS 时发生错误”。苹果手机流量抓包分析安全工程师抓取的三角测量行动网络流量数据包显示后门植入过程大致可分为三个阶段1. 设备与苹果的 iMessage 服务进行正常通信其中 *.ess.apple.com 域名属于苹果公司合法域名2. 设备从 icloud-content.com 或 content.icloud.com 下载一个 iMessage 附件而恶意代码正隐藏在该附件中3. 当附件下载完成后设备随即开始与backuprabbit.com、cloudspncer.com等陌生服务器建立连接这些服务器已不再属于苹果公司均被确认是攻击者的指挥与控制C2节点标志着入侵阶段的完成与远程控制的开始。如下所示iMessage 附件以加密形式通过 HTTPS 渠道传输外部无法直接查看其内容。唯一可观察到的特征是下载的数据量约为 242 KB这一流量特征成为识别可疑附件下载行为的隐含指标。Part3 总结1. 与 SolarWinds 供应链攻击被溯源的思路类似三角测量行动的发现同样基于对异常业务行为与异常网络流量的深入分析与关联判断。2. 本文是三角测量行动系列的第一篇更多技术细节与分析过程将在后续文章中逐步分享敬请期待。3. 为了便于技术交流现已建立微信群希水涵-信安技术交流群欢迎您的加入。公众号专注于网络安全技术分享包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等每周一篇99%原创敬请关注。Contact me: 0day123abc#gmail.comOR 2332887682#qq.com(replace # with )