本文基于iVerify研究团队负责人在著名黑客会议38c3上演讲内容整理而成。

演讲人介绍

各位尊敬的来宾，请允许我介绍Matthias Freelingsdorf先生。他现任iVerify研究团队负责人，曾就职于德国联邦铁路，专门负责智能手机和平板电脑安全，并为T-Systems开发安全产品。他的硕士论文研究iOS漏洞利用和恶意软件检测，并在黑帽会议（Black Hat）、LabsCon等多个重要会议上发表研究成果。他是iOS恶意软件领域的权威专家。除专业工作外，他也热衷于篮球运动和桌游。

演讲范围界定

本次演讲将重点关注以下内容：

• 商业间谍软件的历史演进

• 当前检测iOS商业间谍软件的手段

• 行业现状分析

• 未来发展趋势展望

需要说明的是，本次演讲不会涉及：

• StockAware、Spouseware等大众市场监控软件

• 商业间谍软件的合法性或正当性讨论

• 越狱技术

核心概念界定

商业间谍软件定义

在本演讲中，商业间谍软件特指：

1. 企业面向国家机构提供的攻击能力

2. 用于数据窃取的间谍软件植入物

3. 通常使用零点击或一键点击漏洞链

4. 经常使用零日漏洞感染最新版本iOS设备

5. 针对个别目标实施攻击

这类软件也被称为"私营部门攻击者"或"雇佣军间谍软件"。

研究重要性

关注此议题的原因：

1. 已有多起针对公民社会、新闻工作者或企业的滥用案例

2. 过去八年中，公民社会领域已披露诸多滥用事件

3. 在iOS系统上难以检测

4. 涉及新颖或有趣的漏洞利用技术

5. 虽然感染概率较低，但一旦感染将造成重大影响

6. 已有受害者在感染后遭受人身伤害的案例（如Khashoggi事件）

与越狱技术的区别

越狱特点：

• 目的：用户自主解放设备

• 安装方式：手动

• 目标客户：终端用户

• 影响群体：用户本人

• 系统变化：显著

• 易于检测

商业间谍软件特点：

• 使用零日漏洞

• 采用零点击攻击

• 面向政府机构

• 针对特定目标

• 隐蔽性强

• 难以检测

历史案例分析

Pegasus第一代（2016）

• 首个被公开分析的商业间谍软件案例

• 发现源于可疑短信分析

• 使用公开越狱技术

• 系统痕迹明显，易于检测

Pegasus第二代（2021）

• 代号"强制入侵"

• 利用iMessage作为感染载体

• 实现零点击攻击

• 增强了痕迹清理能力

• 使用特定目录进行启动

Pegasus第三代（2022-2023）

• 改进清理机制

• 伪装为系统进程

• 采用BlastPass漏洞链

Hermit（2022）

• 通过侧载应用感染

• 与移动运营商合作

• 使用公开和非公开漏洞

• 首个使用应用程序作为感染载体的案例

三角行动（Operation Triangulation）

• 使用iMessage作为感染载体

• 通过网络和取证分析发现

• 使用过时的系统进程名称（导致暴露）

• 全面的痕迹清理机制

Predator演进

第一代（2021）

• 一键点击攻击

• 基于Python开发

• 同时支持Android和iOS

• 已实现基本的痕迹清理

第二代

• 完全用Objective-C重写

• 使用WebKit零点击攻击

• 增强的验证和清理步骤

• 具备关机通知响应机制

技术趋势分析

攻击方式演进

• 从一键点击向零点击转变

• 放弃持久性模块

• 增强清理能力

• 难以获取完整样本

检测指标（IOC）分析

• 崩溃日志

• 电子邮件痕迹

• 文件痕迹

• 网络痕迹

• 进程痕迹

检测技术现状

iOS应用检测能力

• 极其有限

• 仅能检查已知文件路径

• 可监控网络流量

• 无法获取完整系统信息

MDM检测能力

• 可获取已安装应用列表

• 适合检测Hermit类型攻击

• 功能受限

取证分析能力

• 可通过备份获取更多信息

• 需要用户交互

• 分析耗时

• 要求专业知识

系统诊断（SysDiagnose）

• 可获取全面系统信息

• 需要10-15分钟执行

• 需要用户配合

BlastPass案例深入分析

攻击链分析

• HomeKit进程崩溃（25次）

• Messages Blaster服务崩溃（35次）

• 使用PKPass文件传递

• 包含NS表达式攻击载荷

技术特点

• 多阶段解密机制

• 利用XPC通信

• 智能的密钥传递方案

• 复杂的反检测机制

未来发展趋势

预期变化

1. 攻击面转移：

• 转向第三方应用

• 扩展到其他苹果设备

• 探索新的攻击载体

2. 攻击策略调整：

• 多重漏洞利用

• 目标差异化处理

• 进一步提升隐蔽性

2025年期望改进

1. 苹果威胁通知改进：

• 提供恶意软件详情

• 包含IOC信息

• 明确攻击状态

• 提供时间框架

2. 检测能力提升：

• 增加端点安全框架

• 提供进程监控能力

• 改进取证支持

3. 行业协作：

• 加强防御方协作

• 共享恶意软件样本

• 统一分析技术

• 共享IOC信息

4. 研究需求：

• 商业间谍软件影响范围研究

• iOS攻击面研究

• 新设备取证技术研究

• 系统数据库文档完善

安全建议

个人防护

• 启用锁定模式

• 定期重启设备

• 保持系统更新

• 定期进行取证分析

机构防护

• 建立设备管理制度

• 实施持续监控

• 加强用户培训

• 保持威胁意识

参考资料：

https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios