攻击使用SQLite数据库来破解其他应用程序,恶意软件服务器
聪明的攻击使用SQLite数据库来破解其他应用程序,恶意软件服务器
受污染的SQLite数据库可以在其他应用程序中运行恶意代码,例如Web应用程序或Apple的iMessage。
安全研究人员透露,可以修改SQLite数据库,使其在依赖它们存储数据的其他应用程序中执行恶意代码。
在今天拉斯维加斯DEF CON安全会议上发布的演示中,Check Point安全研究员Omer Gull展示了一个受污染的SQLite数据库的演示,该数据库劫持了恶意软件操作的命令和控制服务器,以及使用SQLite在iOS设备上实现持久性的恶意软件。
聪明的SQLITE攻击让黑客获得IOS持久性
我们的想法是,第三方应用程序从SQLite数据库读取数据的漏洞允许第三方将恶意代码隐藏在SQLite数据库的数据中。
当第三方应用程序(如iMessage)读取受污染的SQLite数据库时,它也会无意中执行隐藏代码。
在他在DEF CON上展示的iMessage演示中,Gull展示了设法替换或编辑“AddressBook.sqlitedb”文件的恶意软件或威胁演员如何在iPhone的地址簿中插入恶意代码。
当iMessage查询此SQLite文件(iMessage定期执行)时,恶意代码会运行,并允许恶意软件在设备上获得启动持久性。
虽然这种情况似乎难以置信,但这并不像看起来那么难。Gull说Apple没有签署SQLite数据文件,所以替换这个文件是微不足道的。因此,威胁行为者有一种简单的方法可以用来在iPhone和macOS设备上获得启动持久性。
就其本身而言,Apple在5月份针对SQLite攻击媒介发布了修复程序(CVE-2019-8600,CVE-2019-8598,CVE-2019-8602,CVE-2019-8577),使用macOS Mojave 10.14.5,iOS 12.3,tvOS 12.3和watchOS 5.2.1。延迟更新设备的用户仍然容易受到此攻击。
SQLITE漏洞可用于劫持恶意软件操作
但是在其他情况下,这些漏洞可以用于“好”。这些案件是针对恶意软件的。
例如,浏览器将用户数据和密码存储在SQLite数据库中。信息窃取程序 - 一类恶意软件 - 专门用于窃取这些SQLite用户数据文件并将文件上载到远程命令和控制(C&C)服务器。
这些C&C服务器通常用PHP编码,通过解析SQLite文件来提取用户的浏览器数据,以便在恶意软件的基于Web的控制面板中显示它。
Gull表示,就像iMessage攻击一样,SQLite漏洞可用于在恶意软件的C&C服务器上执行代码并接管骗子的系统。
“考虑到几乎任何平台几乎都内置了SQLite,我们认为当涉及到它的开发潜力时,我们几乎没有触及冰山一角,”Gull说。
依赖于SQLite的应用程序包括Skype,任何网络浏览器,任何Android设备,任何iTunes实例,Dropbox同步客户端,汽车多媒体系统,电视机和机顶盒有线电视盒以及其他一些应用程序。
“我们希望安全社区能够利用这一创新研究和发布的工具,进一步推动它。”