文章来源:XY苹果助手作者:逍遥手游网发布时间:2015-09-02
近日,“iCloud被大规模盗号”事件闹得沸沸扬扬,成为众网友热议话题。安全员Claud Xiao总结了整个事件的来龙去脉,下面跟随小编一同回顾事件过程。
事件简述
安全人员通过和iPhone开发人员的合作,共有 92 个新的iOS恶意软件样本被发现。在对始作俑者的最终目的进行分析后,他们将这些恶意软件命名为“KeyRaider”,这也是导致 iCloud 账号被大规模被盗的主因。
KeyRaider 瞄准的是越狱的 iOS 设备,这些恶意软件来源国内,不过似乎受影响的并不仅仅是中国的用户,目前这些软件已经被传播到多达 18 个国家,包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等地。
该恶意软件通过 Mobile Substrate 来注入系统,并通过拦截 iTunes 流量从而窃取苹果账号、密码和设备的 GUID。KeyRaider 偷取苹果推送通知的服务证书和私人钥匙,偷取并分享 App Store 的购买信息,并且禁用 iPhone 和 iPad 的本地和远程解锁功能。
KeyRaider 成功偷取了超过 225000 个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意软件还将偷取来的数据上传到 C2(指令和控制)服务器,该服务器本来就包含了众多的漏洞,用户的信息也因此遭到泄露。
本次攻击的对象是安装了两个特定插件的越狱用户,这两个插件可以让用户免费从 App Store 下载应用,或者是免费购买应用内购内容。
这两个插件会劫持应用购买的请求,下载被盗的账户或者 C2 服务器购买收据,然后模仿 iTunes 协议来登入苹果的服务器,并购买应用或者是用户要求的其它项目。这些越狱插件已经被下载超过 2 万次,这意味着大约有 2 万用户在滥用 225000 个被盗的证书。
一些“受害者”表示他们的苹果账户显示了不正常的应用购买历史,而一些用户的手机更是被锁且被勒索钱财。
发现 KeyRaider
这个恶意软件最初被iPhone开发人员的成员 i_82 发现,在今年的 7 月,因为收到了不少用户指出的未经授权的 iOS 应用在自己的设备异常出现后,iPhone开发人员的成员便开始了调查工作。通过查看报告问题用户的越狱插件,他们发现了一个插件会收集用户的信息,并上传到一个意料不到的网站中,随后他们更是发现该网站有一个 SQL 注入漏洞,该漏洞可以访问“top100”数据库的所有记录。
在这个数据库中,iPhone开发人员发现了一个名为“aid”的数据表包含了总共 225941 个词条,大约有 20000 个词条包含了用户名、密码和 GUID。
通过逆向查找越狱插件,iPhone开发人员发现了一个使用 AES 密匙加密的代码(mischa07),加密后的用户名和密码可以成功地使用这种静态密钥解密。随后iPhone开发人员证实列出的都是苹果账户用户名和经过验证的证书。
8 月 25 日下午,iPhone开发人员将漏洞细节提交乌云漏洞报告平台,并且也提交至第三方合作机构(CNCERT国家互联网应急中心)处理。
8 月 26 日下午,iPhone开发人员成员在其微博上公布,泄露的 22万账号只扒下12万时后台数据就被清除了。
KeyRaider的传播
KeyRaider 是通过威锋源传播到 iOS 设备的,和 BigBoss 源和 ModMyi 源不同,威锋源还为注册的用户提供私有源功能,用户可以直接上传自己的应用和插件。
一位名为“mischa07”的威锋用户上传了至少 15 个 KeyRaider 的样本到他的个人源中,因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙,所以iPhone开发人员怀疑 mischa07 就是本次事件的始作俑者。
mischa07 上传的插件被下载的次数很多均超过1万次,他上传的插件大多提供游戏作弊、系统更改和去应用广告等功能。
mischa07 还上传了两个“有趣”的插件到其个人源。
iappstore:可以在 App Store 下载付费应用而无需付款
iappinbuy:可用在 App Store 内下载应用的内购项目,完全免费
另一个对 KeyRaider 有所“贡献”的是另一个威锋用户刀八木,他的个人源在论坛里也同样非常受欢迎,不过在这次事件发生后,刀八木删除了所有之前上传的恶意软件,后来他在论坛极力否认这件事。不过在威锋的帮助下,安全人员发现找到了他曾经上传过的应用和插件,并发现至少有 77 个安装了 KeyRaider 的恶意程序。mischa07 似乎是制造恶意程序并开发成不同的版本的人,而刀八木则通过将现有的应用或插件重新打包来注入恶意程序,其中包括一些像 iFile、iCleanPro 等插件。
从泄露的数据来看,有超过 67%的被盗账户均来自刀八木。
偷取用户数据
KeyRaider 会收集 3 种用户数据,并通过 HTTP 上传到 C2 服务器,安全人员确定了两个不同的 C2 服务器。
top100.gotoip4.com
www.wushidou.cn
在分析期间,这些域名都和 113.10.174.167 这个 IP 有关,在服务器的“top 100”数据库中有 3 个数据表,分别是:“aid”、“cert”和“other”。KeyRaider 使用了 4 个 PHP 脚本来在服务器访问数据库,分别是:aid.php、cert.php、other.php和data.php。
经发现,“aid”数据表存储了 225941 个被盗的 Apple ID 用户名、密码和设备的 GUID 组合。“cert”数据表存储了 5841 个受感染设备证书和隐私钥匙的词条。最后,“other”数据表存储了超过 3000 个设备 GUID 和来自 App Store 服务器的购买收据词条。
从被盗的 Apple ID 中对邮件地址进行分类,有超过一半的邮件服务是由腾讯(@qq.com)提供。
除了国内的用户之外,从数据中还发现了其它国家和地区的域名,包括:
tw: Taiwan
fr: France
ru: Russia
jp: Japan
uk: United Kingdom
ca: Canada
de: Germany
au: Australia
us: United States
cz: Czech Republic
il: Israel
it: Italy
nl: Netherlands
es: Spain
vn: Vietnam
pl: Poland
sg: Singapore
kr: South Korea
恶意行为
KeyRaider 恶意代码存在于用作 MobileSubstrate 框架插件的 Mach-O 动态库,通过 MobileSubstrate 的 API,恶意软件注入了系统进程或者其它 iOS 应用中的任意 API。
KeyRaider 使用了之前一些恶意软件中的技术并加强,其恶意行为主要包括以下几个方面:
盗取苹果账户(用户名和密码)和设备 GUID
盗取苹果推送通知服务的证书和私人钥匙
阻止受感染设备通过密码或 iCloud 服务进行解锁
免费应用
一些 KeyRaider 恶意程序样本通过执行代码来下载购买收据和 C2 服务器的苹果账号。然而,只有越狱插件 iappstore 和 iappinbuy 才会被真正使用。
手机勒索
除了偷取苹果账号来购买应用之外,KeyRaider 还可以通过内置功能对 iOS 设备进行勒索。
以往的一些 iPhone 勒索往往是通过 iCloud 服务远程控制 iOS 设备。在一些情况下可通过重置账户密码来重新获得对 iCloud 的控制。但 KeyRaider 不同,它可以本地禁用任何类型的解锁操作,无论你是否输入正确的密码。此外它同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户,让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性,之前可用的一些应对办法也不再适用。
其它风险
一些开发者可能会为自己的应用买单,从而让自己的应用能够在 App Store 中获得更好的位置。使用盗取的数据,不法分子可以在 iOS 设备上安装应用来增加下载量,也就是俗称的“刷榜”。
现金回流
不法分子可以使用偷来的账户从 App Store 购买付费应用,这些支出是由“受害人”承担的,但钱将会支付给苹果并有部分返还给开发者,某些开发者就可以和不法分子分享收入,当然并不是所有的开发者都会立心不良。
垃圾邮件
有效的苹果账户用户名可以被单独出售,用于垃圾邮件的投放,相信这个大家都已经非常熟悉了。
勒索
拥有苹果的账户和密码,就意味着不法分子可以通过 iCloud 服务来获得你 iOS 设备中的其它信息。
设备解锁
这些被盗的账户还可能流入另一个市场,苹果的安全机制要求你在抹除和二次销售设备的时候要验证 Apple ID。
其它未来的威胁
结合 iCloud 的个人数据,被盗的账户可能还会被用来进行社交工程(一个有经验的黑客能会通过收买或欺骗获得机密数据,这种常见的攻击方式被称为社会工程)、欺诈和有目标性的攻击。
如果你也是越狱用户,那赶紧关注下自己究竟有没有中招。
最强祖师
最强祖师,一款超爽的修仙手游。
真实的修仙游戏 高自由的修仙游戏
巴风特之怒
巴风特之怒,不忘初心,续写RO新篇章!
mmorpg MMO
梦幻西游手游
各种多样化的乐趣玩法内容,可以进行自由的体验
西游题材 回合制
三国志战略版
燃尽天下九州烽火见证王侯将相崛起
烧脑竞技 三国志
迷你世界pc版
卡通3D的沙盒建造类手游,让玩家们的体验乐趣更加丰富。
像素沙盒 沙盒建造
勇士与冒险
勇士与冒险,探索古老遗迹,不断战斗闯关。
ARPG 打击感好的动作游戏
新仙剑奇侠传之挥剑问情
新仙剑奇侠传之挥剑问情,守护神助你闯江湖。
国风元素 仙剑系列
元尊
元尊是一款以中国传统仙侠世界为背景的角色扮演游戏。
耐玩的角色扮演游戏 rpg仙侠类手游
这城有良田内置菜单
轻松有趣的放置模拟经营游戏
模拟经营 放置经营
三国志战棋版
三国志战棋版,英雄只待成名时!
SLG策略国战 三国志单机版手游
战斗法则
战斗法则,守护这片世界的文明。
可以触摸的二次元游戏 高画质的格斗游戏
魔域手游2
魔域手游2,重返热血无双称霸之路!
魔域单机手游 正版手游魔域
远征将士
养成和策略相结合的玩法,给玩家带来深度和挑战。
卡牌对战 冒险闯关
蛋仔派对网易版
蛋仔派对网易版,和好友一起结伴闯关吧!
派对 可爱
斗罗大陆魂师对决
超高品质 100%还原真实斗罗世界
高颜值 人气3d动漫人物的游戏
率土之滨
一个真正拥有高自由度的沙盘世界
SLG 可以攻城掠地的游戏
三国志幻想大陆官服
日系画风的三国世界,感受无双的卡牌对决。
回合制 三国
光明冒险
超级有趣的魔幻冒险,超级轻松的战斗过程。
卡通 操作简单
漫威超级战争
展现超级英雄战斗特色,还原漫威宇宙宏大世界观。
MOBA 网易游戏
和平精英体验服
精品趣味枪战射击游戏,带你走进这个不同的世界当中。
开放 不肝不氪
满攻速传奇
满攻速传奇魂环版,上线即可满攻速。
攻速快暴击高 超变攻速传奇
明日之后
全新的无缝衔接地图,让玩家体验真正的开放世界
角色扮演 2023什么手游好玩
航海王热血航线
热血海贼对战,指尖微操快感!!!
朝夕光年游戏 人气3d动漫人物的游戏
口袋觉醒
经典宠物精灵,为玩家带来更多的精彩体验
精灵 宠物
小小蚁国
诸多蚂蚁可以供选择培养和养成
模拟经营 战争策略