Rat5ak/CORUNA_IOS-MACOS_FULL_DUMP

GitHub: Rat5ak/CORUNA_IOS-MACOS_FULL_DUMP

这是一个包含完整样本、提取载荷及分析脚本的Coruna iOS/macOS利用工具包复现库,用于深度研究WebKit漏洞利用与后渗透技术。

Stars: 53 | Forks: 16

# Coruna Exploit Kit — 样本与产物 从 **Coruna** iOS/macOS 利用工具包中恢复的样本和提取的产物,这是一个针对 iOS 13.0–17.2.1 上 Safari/WebKit 的国家级工具包。 由 [Google Threat Intelligence Group](https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit/) 命名(2026 年 3 月)。最初由 [@matteyeux](https://github.com/matteyeux) [公开泄露](https://github.com/matteyeux/coruna)。 ## 内容 ### `samples/` — 原始 JavaScript 模块(28 个文件) 从 `b27.icu` 中恢复的原始混淆 JavaScript。包括: - 13 个以 SHA1 命名的模块(`.js.js`)— 核心利用链组件 - `config_81502427.js` — 模块加载器和依赖解析器 - `fallback_2d2c721e.js` — 备用利用路径 - `ios_*.js` / `macos_*.js` — 特定平台利用模块 - `KRfmo6_166411bd.js` — JIT 结构检查消除(macOS RCE) - `YGPUu7_8dbfa3fd.js` — NaN-Boxing 类型混淆(macOS RCE) - `Fq2t1Q_dbfd6e84.js` — OfflineAudioContext/SVG 利用(iOS RCE) - `final_payload_A/B_*.js` — 后渗透 shellcode 加载器 - `urls.txt` — 交付基础设施 URL ### `extracted_wasm/` — WebAssembly 模块(6 个文件) 从 JavaScript 模块中提取的内联 Wasm 二进制文件。用于 `call_indirect` 调度劫持,将 Wasm 沙箱转换为原生函数调用原语。 ### `extracted_binaries/` — Mach-O 与 Shellcode(13 个文件) 从 XOR 编码的 `Uint32Array` payload 中提取的 ARM64 二进制文件: - `*_macho.bin` / `*_macho_v2.bin` — Mach-O 可执行文件(进程信息、C2) - `*_shellcode.bin` — ARM64 shellcode(执行前阶段) - `*_blob[0-2].bin` — 编码数据块(数据外运暂存) ### `decoded_payloads/` — 去混淆 JavaScript(12 个文件) 利用模块的 XOR 解码和去混淆版本,已解析字符串表并重建控制流。 ### `analysis_scripts/` — 分析工具(18 个文件) 逆向工程期间使用的脚本: - `_extract_wasm.js` — 从 JS 模块中提取内联 Wasm - `_wasm_disasm.js` — Wasm 字节码反汇编器 - `_disasm165.js` — ARM64 指令解码器 - `decode_all_xor.py` — 批量 XOR 字符串解密器 - `decode_class_section.py` — 类/方法分类提取器 - `find_jit_symbols.js` — JIT 相关符号查找器 - `_decode_payloads.js` — payload 提取和解码 ## 相关内容 - **技术分析:** [Rat5ak/CORUNA_TECHNICAL_ANALYSIS](https://github.com/Rat5ak/CORUNA_TECHNICAL_ANALYSIS) — 深入利用链内部的 6,596 行深度剖析 - **博客文章:** [nadsec.online](https://nadsec.online) - **Google TIG 报告:** [Coruna: A Powerful iOS Exploit Kit](https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit/) ## 致谢 原始 Coruna 泄露由 [@matteyeux](https://github.com/matteyeux/coruna) 发布。分析、提取以及本例中的去混淆工作由 [@Nadsec](https://x.com/Nadsec11) 完成。 我绝非发现了这些 URL。 ## 免责声明 这些样本仅供安全研究使用。此工具包利用的漏洞已由 Apple 修复。请勿将这些材料用于未经授权访问任何系统。
标签:AI工具, APT, ARM64, CISA项目, Coruna, Exploit Kit, iOS, JIT, Mach-O, RCE, Safari, Shellcode, WebAssembly, WebKit, Web报告查看器, 云资产清单, 代码混淆, 去混淆, 恶意软件, 技术调研, 提权, 攻击工具集, 数据可视化, 样本分析, 类型混淆, 编程工具, 网络安全, 载荷提取, 远程代码执行, 逆向工具, 逆向工程, 隐私保护