国家级网军利用SIM卡漏洞,针对特定目标进行间谍活动 – 作者:黑鸟

近日,国外有家安全公司披露了SIM卡的一个漏洞,该漏洞可被用来跟踪手机的位置,并有可能接管该设备。

报告的漏洞被称为“simjacker”,它处理的是名为s@t浏览器的sim卡中的旧软件技术,最近一次更新是在2009年。该公司称,通过漏洞向手机发送一条短信,短信中包含一种特定类型的代码,便可以远程操控SIM卡发出命令,控制手机,从而执行敏感命令。目前号称至少有 30 个国家的移动运营商使用了 S@T 浏览器技术,影响手机用户总数超过 10 亿。

这个消息实际上黑鸟已经得知很久,但是一直没搞懂s@t浏览器是个什么玩意,最后找到了一个文档,具体来说,这个东西是在SIM应用工具包(STK)里面,而STK是GSM系统的标准,它使用户识别模块(SIM卡)能够发起可用于各种增值服务的动作。

而移动网络运营商可以通过向包括符合Toolbox(S @ T)的无线互联网浏览器(WIB)的手机发送安全SMS来提供更新的STK应用菜单。

大致来说,相当于Sim卡里面有一个浏览器,可以执行各种操作,说得不好听就是个后门。而这个东西,国内sim卡里有没有我不知道,我也没条件测,就酱。

image.png

文档下载:https://www.simalliance.org/files/S@T/S@T_Specifications_2007/S@T%2001.50%20v3.0.0%20(Release%202007).pdf

根据研究人员表示,这个漏洞至少在过去两年中被多个国家的高度复杂的APT组织网军利用,主要用于监视目的。

除了对其受害者的影响之外,从分析来看,随着时间的推移,与先前在移动核心网络上发现的攻击相比,Simjacker及其相关漏洞的复杂性大幅提升。它代表了利用移动网络的攻击者的技能和能力正在持续对技术进行升级。

Simjacker如何跟踪易受攻击用户的移动电话位置的示例

image.png

鉴于该攻击的重要性,该安全公司还注册了一个域名,专门用于放置与该漏洞相关的信息,以供参考:

image.png

▲https://simjacker.com/

漏洞如何运作

最简单的案例,Simjacker攻击只需要发送一条短信,其中包含一种特定类型的间谍软件代码被发送到手机,然后手机会指示手机内的UICC(SIM卡)“接管”手机,并按顺序检索和执行敏感命令。

顺便搞清楚一下,这个存在漏洞的SIM卡是基于UICC平台的,就是功能比较多。下面直接将该SIM卡称为UICC

image.png

当一条短信(Simjacker’攻击消息’ )被发送到目标手机时,攻击就开始了。

此Simjacker攻击消息,从另一个手机,通过GSM调制解调器或连接到A2P帐户的SMS账户进行发送,其包含一系列SIM工具包(STK)指令,并专门设计成可以传递到UICC / eUICC(SIM卡)设备内。

image.png

为了使这些指令起作用,攻击利用了一种称为S @ T浏览器的特定软件,那是在UICC上。一旦UICC收到Simjacker攻击消息,它就会使用S @ T浏览器库作为UICC上的执行环境,并具有可以触发手机的逻辑

对于观察到的主要攻击,在UICC上运行的Simjacker代码,会从手机请求位置和特定设备信息(IMEI)。一旦检索到该信息,在UICC上运行的Simjacker代码然后将其整理并通过另一个SMS(“数据消息”)将组合信息发送到接收者号码,并再次通过触发手机上的逻辑。

此数据消息是将位置和IMEI信息泄露到攻击者控制的远程电话的方法。


说个半天实际上不知道怎么实现还是一脸懵,就当看个大概执行流程吧,如下图,实际上就和正常的协议交互一致,同样是基于通信协议。

image.png

在攻击期间,用户完全没有意识到他们收到带有Simjacker攻击消息的短信, 在任何短信收件箱或发件箱中都没有任何指示。 

为何攻击独一无二


实现攻击,首先S @ T浏览器软件存在于目标电话中的UICC(SIM卡)上。

针对UICC卡的特定SMS消息之前已经证明它们如何被用于恶意目的。

Simjacker攻击采用不同的方法,并通过依赖S @ T浏览器软件作为执行环境来大大简化和扩展攻击。

S @ T(发音为sat)浏览器(SIMalliance Toolbox浏览器), 是SIMalliance指定的应用程序,可以安装在各种UICC(SIM卡)上,包括eSIM,开头也说过了。

这个S @ T浏览器软件并不为人所知,已经相当陈旧,其最初目的是启用诸如通过SIM卡获得帐户余额等服务。在全球范围内,其功能已大部分被其他技术取代,其规范自2009年以来尚未更新,但是,与许多传统技术一样,它仍然在后台使用

在这种情况下,目前通过观察发现,至少30个国家的移动运营商正在使用S @ T协议,其累计人口累计超过10亿人,因此相当数量的人可能受到影响。其他国家/地区也很可能会有移动运营商继续在特定SIM卡上使用该技术。

此攻击也是独一无二的,因为Simjacker攻击消息在逻辑上可归类为可携带完整的恶意软件载荷,特别是间谍软件。这是因为它包含SIM卡要执行的指令列表。而且软件本质上是一个指令列表,一个真实案例便是通过强制浏览器打开包含恶意软件的网页

然而,Simjacker的新颖性和潜力并不止于此。不单单是获取定位,但通过使用相同的技术,并通过修改攻击消息,攻击者可以指示UICC执行一系列其他攻击。这是因为使用相同的方法攻击者可以访问完整的STK命令集,这些STK命令的一些示例是:

image.png

通过在测试中使用这些命令,分析人员能够制作有针对性的手机,打开网络浏览器,拨打其他手机,发送短信等。这些攻击可用于实现诸如此类目的

1、发送虚假信息(例如通过发送带有攻击者控制内容的SMS / MMS消息)

2、欺诈(例如通过拨打额外费率号码),

3、间谍活动(以及通过拨打号码来检索攻击设备的位置,它可以充当窃听设备),

4、恶意软件传播(通过强制浏览器打开包含恶意软件的网页

5、拒绝服务攻击(例如禁用SIM卡)

6、信息检索(检索语言,无线电类型,电池电量等其他信息)

它甚至可能更进一步,取决于手机类型执行更多的骚操作,令人担忧的是,在过去的几周和几个月里,攻击者自己也试验了这些不同的能力。

最后,从攻击者的角度来看,Simjacker的另一个好处是,它的许多攻击似乎独立于手机类型,因为漏洞依赖于UICC上的软件,而不是设备,因此只要你SIM卡装了有那个浏览器,就会被利用。

分析人员观察到几乎所有制造商的设备都成功定位到手机当前位置:Apple,ZTE,摩托罗拉,三星,谷歌,华为,甚至是带有SIM卡的物联网设备。一个重要的注意事项是,对于某些特定的攻击,手机类型的某些设置很重要,例如设置呼叫,需要用户交互确认,而一些没有键盘输入的物联网设备可能就不会有这些功能可以执行,因为设备不支持。

可见,虽然目前检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围,完全可以扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,甚至间谍活动等。

已被网军利用


安全分析人员非常确认这个漏洞利用是由一个与政府合作监控个人的特定私营公司开发的。除了生产这种间谍软件外,同一家公司还可以广泛访问SS7和Diameter核心网络,因为已经看到一些相同的Simjacker受害者也被通过SS7和Diameter协议进行网络攻击,这两种攻击方法被用作当Simjacker攻击不成功时的后备方法。

SS7:

image.png

Diameter协议:

image.png

到目前为止,分析人员已经看到来自几个国家的电话号码成为这些攻击的目标,也许是这个漏洞的协议比较具备识别性,他们非常肯定那几个国家的人也是Simjacker攻击的目标。下图,每周被攻击的分布图。

image.png

在一个国家,安全研究人员通过Simjacker攻击检测,每天可以看到大约100-150个特定的个人电话号码,有时候甚至高达300个。

而一些电话号码(可能是高价值目标)曾试图在7天内跟踪数百次,但大多数电话号码的跟踪次数较小。而许多电话号码一次几天,几周或几个月反复的进行监控,而其他电话号码则被定为一次性攻击。这些模式和跟踪数量表明它不是大规模监视行动,而是旨在为各种目的跟踪个人目标,并且优先级随着时间的推移而发生变化。

目前,该安全厂商已经通告GSM协会,SIM联盟,还有移动运营商,状况正在好转,但是,攻击仍在每时每刻的发生,毕竟漏洞存在你的Sim卡上面

从这起攻击可以看出,当攻击者开始研究一些安全分析人员不太重视的领域,而这些领域的知识如果都是封闭状态时,那么很有可能这些有针对性目标的攻击者将会挖掘出一个又一个有高利用性的0day漏洞,从而发起监控或APT攻击。

想想看,想要研究出Simjacker攻击,既需要特定的SS7知识,还要有构造Simjacker攻击消息的特定SMS,SIM卡,手机,Sim工具包,S @ T浏览器和SS7知识。这项投资显然为攻击者带来了回报,因为他们最终采用了一种方法来控制某个国家的任何手机,所有手机只需要10美元的GSM调制解调器和目标电话号码,即可被控制。

简而言之,Simjacker的出现意味着移动运营商的攻击者已经在新的攻击技术上投入了大量资金,而这种新的投资和技能组合意味着未来,会有更多这类复杂的攻击出现。

因此,黑鸟友情提醒,无论国内外,移动运营商都需要不断调查可疑和恶意的活动,以发现“隐藏”攻击。如今的高端攻击者能力扩展维度很广,不仅仅是利用不安全的网络进行攻击,从本案例可见,攻击方法涵盖了非常复杂的协议,执行环境和技术组合,在攻击者都在高投入的研究漏洞以发起攻击的同时,作为防御方也务必进行高投入的进行未知威胁的检测,才能在攻防不对等的今天,提前预警威胁。

相关链接:

https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile

https://simjacker.com/

2019年10月3日伦敦举行的Virus Bulletin Conference上提供有关Simjacker的技术细节

会议:

https://www.virusbulletin.com/conference/vb2019/

来源:freebuf.com 2019-09-19 12:07:27 by: 黑鸟

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论