遠離Pegasus、Chrysaor和其他APT移動惡意軟體的危害

遠離Pegasus、Chrysaor和其他APT移動惡意軟體的危害

 

01 如何保護您的iPhone或安卓智能手機遠離Pegasus及類似的移動APT的危害


可能是 2021 年最大的新聞事件

Δ《衛報》和其他16家媒體機構於7月發表的一項調查表明——全球超過30000 人權活動家、記者和律師可能已成為Pegasus的監控目標
ΔPegasus是一種由義大利NSO公司開發的所謂的”合法監控軟體“。 這份名為Pegasus Project的報告聲稱,這種惡意軟體是通過各種漏洞被廣泛部署的,其中包括幾個iOS零點擊零日漏洞

根據對眾多行動裝置的取證分析,國際特赦組織的安全實驗室發現,該軟體被反覆以濫用方式用於監視。

其監視的目標個人名單中包括14位世界領導人和許多其他活動家、人權宣導者、持不同政見者和反對派人士。


7月下旬,以色列政府代表訪問了NSO公司的辦公室,作為對這些說法進行調查的一部分。 10月,印度最高法院委託一個技術委員會調查利用Pegasus監視其公民的行為。

蘋果公司在11月宣佈,它正在NSO集團採取法律行動,因為NSO集團開發的軟體以”惡意軟體和間諜軟體“為目標。

最後,12月份,路透社發佈消息稱,美國國務院的手機被NSOPegasus惡意軟體入侵,正如蘋果公司所警告的那樣。


過去幾個月,我收到了來自世界各地相關使用者的很多問題,他們詢問如何保護他們的行動裝置免受Pegasus其他類似工具惡意軟體的侵害。

我們正試圖在本文中解決這個問題,並且還需指出,沒有任何防禦技術清單都不可能是詳盡的。 此外,隨著攻擊者改變其作案手法,保護技術也應進行調整。

 

02   如何遠離Pegasus和其他手機間諜軟體的危害

首先,我們需要說明,Pegasus是一個以相對較高的價格出售給國家政府工具包

全面部署的成本可能很容易就達到數百萬美元。 類似的是,其他APT移動惡意軟體也可以通過零點擊零日漏洞來部署。 這些零日漏洞非常昂貴——例如,一家漏洞經紀公司Zerodium為一個具有持久性的安卓零點擊感染鏈支付高達250萬美元。

 

從一開始,我們就得出一個重要的結論——國家政府資助的網路間諜行動是一項擁有大量資源的行動。 當威脅行為者有能力在其攻擊計劃上花費數百萬,甚至數千萬美元時,幾乎任何目標都無法避免被感染。

簡單來說,如果你被這樣的威脅行為者盯上了,那問題就不是”你是否會被感染”,而是你被感染只是一個時間和資源問題。

現在,說一下好消息——漏洞開發和進攻性網路戰爭往往更像是一門藝術,而不是一門精確的科學。 漏洞需要針對特定的操作系統版本和硬體進行調整,而且很容易,並且很容易被新的
操作系統版本、新的清除技術甚至隨機事件等小事所阻止。 考慮到這一點,
感染針對也是一個成本問題,我們能做的是讓攻擊者所做的事變得更困難。 雖然我們可能並不總是能夠阻止成功利用和感染行動裝置,但是我們可以嘗試讓攻擊者的攻擊變得盡可能困難。

我們如何在實踐中做到這一點?

這裡有一個簡單的要做的事情的檢查表。

 

03   如何在iOS上抵禦高級間諜軟體

Δ1.每天重啟設備

根據國際特赦組織和公民實驗室的研究,Pegasus感染鏈通常依賴於零點擊零日漏洞,而其沒有持久性,因此定期重啟有助於清除設備中的感染

如果設備每天都重啟,攻擊者就不得不一遍又一遍地重新感染它。 隨著時間的推移,這會增加檢測到惡意軟體的機率;可能會發生崩潰或可能發現人工製品,從而洩露感染的隱蔽性。

事實上,這不僅是一種理論,而是可行的——我們分析了一個案例,其中一個行動裝置是通過零點擊漏洞(比如FORCEDENTRY)成為被攻擊目標。

設備擁有者定期重啟他的設備,並且在攻擊后的24小時內也是如此。 攻擊者試圖再攻擊設備多次,但在重新啟動被踢了幾次後最終放棄了。

NoReboot:假重啟以在系統中站穩腳跟

 

Δ2.禁用iMessage

iMessage內置於iOS並默認啟用,使其成為有吸引力的漏洞利用載體。 因為它是默認啟用的,所以它是零點擊感染鏈最頂級的交付機制,多年來,iMessage漏洞利用的需求量很大,在漏洞經紀公司的回報率最高。

Zerodium的創始人Chaouki Bekrar在2019年給《連線》雜誌的採訪中寫道

“在過去幾個月,我們發現iOS漏洞的數量增加,主要是SafariiMessage感染鏈,被來自世界各地的研究人員開發和出售。 零日漏洞市場充斥著iOS漏洞,以至於我們最近開始拒絕一些漏洞。 ”

我們意識到,沒有iMessage的生活對一些人來說可能非常困難(稍後會有更多內容),但是如果Pegasus 和其他高端APT移動惡意軟體在您的威脅模型中,那麼這是一個值得取捨的選擇。

 

Δ3.禁用Facetime

與上述建議相同

 

Δ4.確保設備保持更新

一旦有新的iOS補丁推出,儘快進行安裝。 不是每個人都能負擔得起零點擊的零日漏洞,實際上我們看到的許多iOS漏洞工具包都是針對已經打過補丁的漏洞。

儘管如此,許多人出於各種原因運行舊手機並推遲更新。 如果你想要保持領先於政府的駭客(至少領先於一些),請儘快安裝更新,並說服自己,安裝補丁並不是為了使用表情符號

 

Δ5絕對不要點擊消息中收到的連結

這是一個簡單的建議,但很有效。 並非所有Pegasus客戶都能負擔得起以數百萬美元的成本購買零點擊零日漏洞的,因此他們依賴點擊式漏洞利用程式

這些威脅以消息的形式發送,有時候是通過簡訊,但也可以通過其他聊天工具甚至電子郵件發送。

如果您收到一條包含連結的有趣的簡訊(或其他聊天工具資訊),請在桌面電腦上打開它,並且最好使用TOR瀏覽器打開,或者最好使用安全的非持久性操作系統,如Tails

帶有惡意連結的簡訊,用於攻擊一名政治活動家

 

資料來源:公民實驗室

 

Δ6.使用替代性瀏覽器瀏覽互聯網

Firefox Focus,而不是Safari或Chrome。 儘管iOS上的所有瀏覽器幾乎都使用相同的引擎,即Webkit,但一些漏洞在一些替代性瀏覽器上的效果並不好(見LightRighter / TwoSailJunk APT案例 )。

LightRiver漏洞利用工具檢查使用者代理字串中的”Safari”

Safari、Chrome 和 Firefox Focus 瀏覽器的 iOS 使用者代理字串;

  • Safari: Mozilla/5.0 (iPhone;CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1  Mobile/15E148 Safari/604.1
  • Chrome: Mozilla/5.0 (iPhone;CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53  Mobile/15E148 Safari/604.1
  • Firefox Focus: Mozilla/5.0 (iPhone;CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39

手機版/15E148 版本/15.0

 

Δ7.總是使用VPN來掩蓋您的網路流量

一些漏洞是通過GSM運營商MitM攻擊,在瀏覽HTTP網站時或通過DNS劫持來傳遞的。 使用VPN來掩蓋流量,使你的GSM運營商難以通過互聯網直接瞄準你。

如果攻擊者能控制你的數據流,例如在漫遊時,它也會使攻擊過程複雜化。 請注意,不是所有的VPN都是一樣的,也不是任何VPN都可以使用。

在不偏袒任何特定VPN供應商的情況下,有幾件事情需要考慮,當你購買VPN訂閱時,匿名是最優先考慮的。

 

  • 購買意味著——不要使用「免費的」VPN。
  • 尋找接受加密貨幣支付方式的VPN服務。
  • 尋找那些不要求您提供任何註冊信息的服務。
  • 盡量避免使用VPN應用——而是使用開源工具,例如OpenVPN、WireGuard和VPN配置檔。
  • 避免使用新的VPN服務,尋找已經存在了一段時間的知名服務。

 

Δ8.安裝一個安全應用程式

安裝一個安全應用程式,檢查設備是否越獄並發出警告。 由於一次又一次地被踢,攻擊者感到沮喪,最終會部署一個持久性機制,並在這個過程中越獄你的設備。 這時候抓住他們的機率增加十倍,我們可以利用設備越獄的事實。

8每月進行一次 iTunes 備份

通過使用國際特赦組織提供的MVT軟體包(稍後會詳細介紹,這有助於在以後診斷和發現感染。

 

Δ9.經常觸發系統診斷(sysdiag

經常觸發系統診斷(sysdiag)並將它們保存到外部備份。 取證工件可以説明您稍後確定您是否已成為被攻擊目標。

觸發系統分析取決於手機型號——例如,在一些iPhone上,這是由同時按下音量增大+音量減小+電源鍵來完成。 你可能需要多試幾次,直到手機發出嗡嗡聲。 一旦sysdiag被創建,它就會出現在診斷程式中。

 

 

04 如何在安卓手機上抵禦高級間諜軟體

 

對安卓使用者,我們也提供了類似的檢查清單(詳情和理由請查看上面的iOS清單):

  • 每天重啟設備
    在最新的安卓版本上實現持久性很困難,很多APT和漏洞利用程式賣家都避免實現持久化!
  • 保持手機更新
    即使安裝最新的補丁
  • 永遠不要點擊收到的簡訊中的連結
  • 使用替代性瀏覽器訪問互聯網
    例如Firefox Focus,而不要使用預設的Chrome。
  • 總是使用VPN掩蓋自己的網路流量
    一些漏洞是通過GSM運營商的MitM攻擊,在瀏覽HTTP網站時或通過DNS劫持來傳遞。
  • 安裝一款安全解決方案
    掃描惡意軟體並檢查設備是否root,如果發現就發出警告。


在更複雜的級別上——無論是iOS還是安卓———總是使用即時 IoC 檢查你的網路流量。

一個好的設置可以是一個永遠在線的Wireguard VPN連接到你的伺服器,使用pihole過濾掉不好的東西並記錄所有流量以供進一步檢查。


05  沒有iMessage如何過活

最近,我在與我的朋友Ryan Naraine聊天時,他說——”iMessageFaceTime是人們選擇使用iPhone手機的原因! ”。

當然,他的看法是對的。 我自己從2008年起就是iPhone使用者,我認為iMessage和FaceTime是蘋果公司為這個生態系統添加的兩個最了不起的東西。

當我意識到這些也是一些最容易被利用的功能,讓政府監視你的手機時,我試圖躲避到加州旅館,避免使用iMessage。

是一件很難的事嗎? 讓家人也停止使用它。 儘管聽起來令人驚訝,但這是整個安全傳奇中最困難的事情之一。

 

最初,我試圖勸說所有人都轉移到Telegram。 這並不順利。 之後,Sigal變得越來越好,還實現了視通話和群組通話。

隨著時間推移,我越來越多的朋友開始轉到使用Signal。 我的家人也開始這樣做。 我並不是說你也應該這樣做。 也許你可以繼續啟用iMessage而不遇到惡意軟體,繼續快樂的生活——說實話,蘋果公司在iOS 14中用BlastDoor大大改善了iMessage的沙箱的安全性。

但是,NSO用來提供Pegasus的FORCEDENTRY漏洞繞過了BlastDoor,當然,沒有任何安全功能是100%防駭客的。

 

你可能會問,怎樣才能兩全其美呢?

有些人,包括我自己,有幾部手機 – 一部禁用了iMessage,一部”蜜罐”iPhone啟用了iMessage。 兩台手機都綁定了相同的Apple ID和電話號碼。 如果有人決定以這種方式攻擊我,那他們很有可能最終會進入蜜罐手機

 

 

06  如何檢測Pegasus和其他高級而行動惡意軟體

 


檢測Pegasus和其他高級移動惡意軟體的感染痕跡非常困難,並且由於iOS和安卓等現代操作系統的安全功能而變得複雜。

根據我們的觀察,非持久性惡意軟體的部署使情況更加複雜,重新啟動后幾乎沒有留下任何痕跡。 由於許多取證框架需要設備越獄,而這又需要重新啟動,這會導致惡意軟體在重新啟動期間從記憶體中刪除。


 

目前,有幾種方法可用於檢測Pegasus和其他移動惡意軟體。 國際大赦組織的MVT(移動驗證工具包)是免費的、開源的,允許技術專家和調查人員檢查手機的感染跡象。

國際特赦組織從備受矚目的案例中收集並提供了一份IoC(感染跡象)清單,進一步推動了MVT。

 

07  如果感染了Pegasus,應當怎麼做

所以,你仔細遵循所有上述建議,但是仍然被感染了。 不幸的是,這就是我們現在生活的現實。 我非常同情你,真的。

你可能根本不是壞人——相反,我相信你是一個好人。 也許你反對有權勢的人,或者參加了一些抗議活動,反對某些政治人物的可疑決定,或者只是使用加密軟體,或者在錯誤的時間出現在錯誤的地方。

往好的方面看——你知道你已經被感染了,因為人工製品證據和知識讓你可以確定這一點。

 

請考慮以下建議

1誰在攻擊你以及為什麼?

試著弄清楚是什麼讓你引起了大人物的注意。 將來你是否可以通過更隱蔽的行為來避免此類事情?

2你是否可以公開談論這個問題?

最終導致許多監控公司倒閉的是負面曝光。 記者們寫下了關於濫用權力的報導,並揭露了謊言、不法行為和所有的邪惡。

如果你已經成為目標,試著找到一個記者,告訴他們你的故事。

3更換您的設備

如果你正在使用iOS設備,請嘗試使用安卓設備一段時間。 如果你正在使用安卓,請嘗試使用iOS設備。

這可能會讓攻擊者迷惑一段時間;例如,已知一些威脅行為者購買了僅適用於特定品牌手機和操作系統的漏洞利用系統。

4準備一台備用設備

最好是運行GrapheneOS,以實現安全通信。 在這台設備上,使用預付費電話卡,或者僅在飛行模式下僅通過Wi-Fi和TOR進行網路連接。

5避免使用需要向聯繫人提供電話號碼的聊天工具

一旦攻擊者擁有你的電話號碼,他們就可以很容易地通過這種方式在許多不同的聊天工具中對你進行攻擊。

包括iMessageWhatsAppSignalTelegram

這些聊天工具都與你的電話號碼相關聯。 一個有趣的新選擇是使用Session,它自動將你的資訊通過一個洋蔥式網路傳送,不依賴電話號碼。

6嘗試與你所在地區的安全研究人員取得聯繫,並不斷討論最佳做法

如果察覺到任何不對勁,就分享發現的人工製品、可疑的資訊或日誌。

安全絕不是100%有效的單一快照解決方案;把它想成是一條流動的河流,你需要根據速度、水流和障礙物來調整你的航行方式。

 

 

最後,我想要提出一個想法。 如果你成為攻擊或監視目標,就意味著你非常重要。

請記住:重要是件好事,但做個好人更重要。

一個人,我們很弱小,但我們在一起時則變得很強大。 我們世界可能已經支離破碎了,但我相信我們生活在一個仍然可以改變事物的時代。

根據非營利組織保護記者委員會的一份報告,2021年有293名記者被監禁,這是保護記者委員會自1992年開始跟蹤以來報告的最高數位。

對我們來說,未來10年是什麼樣的,以及未來我們的孩子和孩子的孩子所面臨的世界是怎樣的,都由我們來塑造。

 

電影《大獨裁者》最後的演講

在你們之中! 你們有能力製造機器,有能力去製造快樂。 你們有能力去製造自由和美麗的生活,去把生活變成一種美好的體驗。

以民主的名義,讓我們使用這種能力吧 ,讓我們聯合起來,為創造一個嶄新的世界而奮鬥,在這個世界人們將不會失業 ,它會給青年人更好的未來,老人也老有所養。 那些畜生們對我們承諾過的,全都是謊言! 他們沒有實現那些諾言,永遠都不會!

獨裁者使他們自己自由,但卻奴役別人。 現在,讓我們為實現那個諾言而鬥爭吧! 讓我們為了自由的世界而鬥爭,為了廢除國家的障礙而鬥爭,為了驅除貪婪,憎恨和不寬容而鬥爭,讓我們為一個公正世界而鬥爭!

讓我們為了自由的世界而鬥爭,為了廢除國界而鬥爭。 為了驅除貪婪,憎恨和狹隘而鬥爭。 讓我們為一個公正世界而鬥爭,一個科學和進步將會為全體人類創造幸福的世界。 士兵們,以民主的名義讓我們聯合起來!

 

這篇文章最初在Dark Reading上以系列專欄文章的形式發表(第一部分第二部分)。

 

 

結束

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: