最近,iCloud泄露事件越演越烈,某技術團體發現類似iOS插件導致22萬iCloud用戶泄露,對此網絡安全員Claud Xiao對iCloud賬號密碼泄露以及用戶賬號被盜事件進行瞭一系列的研究分析,下面蘋果君就關於22萬個iCloud賬戶被盜真相進行分析曝光。
22萬iCloud泄露事件過程
安全人員通過和國內某知名技術小組的合作,共有 92 個新的iOS惡意軟件樣本被發現。在對始作俑者的最終目的進行分析後,他們將這些惡意軟件命名為“KeyRaider”,這也是導致 iCloud 賬號被大規模被盜的主因。
KeyRaider 瞄準的是越獄的 iOS 設備,這些惡意軟件來源國內,不過似乎受影響的並不僅僅是中國的用戶,目前這些軟件已經被傳播到多達 18 個國傢,包括中國、法國、俄羅斯、日本、英國、美國、加拿大、德國、澳大利亞、以色列、意大利、西班牙、新加坡和韓國等地。
該惡意軟件通過 Mobile Substrate 來註入系統,並通過攔截 iTunes 流量從而竊取蘋果賬號、密碼和設備的 GUID。KeyRaider 偷取蘋果推送通知的服務證書和私人鑰匙,偷取並分享 App Store 的購買信息,並且禁用 iPhone 和 iPad 的本地和遠程解鎖功能。
KeyRaider 成功偷取瞭超過 225000 個有效的蘋果賬戶和成千上萬的證書、私人鑰匙和購買收據。惡意軟件還將偷取來的數據上傳到 C2(指令和控制)服務器,該服務器本來就包含瞭眾多的漏洞,用戶的信息也因此遭到泄露。
本次攻擊的對象是安裝瞭兩個特定插件的越獄用戶,這兩個插件可以讓用戶免費從 App Store 下載應用,或者是免費購買應用內購內容。
這兩個插件會劫持應用購買的請求,下載被盜的賬戶或者 C2 服務器購買收據,然後模仿 iTunes 協議來登入蘋果的服務器,並購買應用或者是用戶要求的其它項目。這些越獄插件已經被下載超過 2 萬次,這意味著大約有 2 萬用戶在濫用 225000 個被盜的證書。
一些“受害者”表示他們的蘋果賬戶顯示瞭不正常的應用購買歷史,而一些用戶的手機更是被鎖且被勒索錢財。
發現 KeyRaider
這個惡意軟件最初被國內某知名技術組的成員 i_82 發現,在今年的 7 月,因為收到瞭不少用戶指出的未經授權的 iOS 應用在自己的設備異常出現後,技術組的成員便開始瞭調查工作。通過查看報告問題用戶的越獄插件,他們發現瞭一個插件會收集用戶的信息,並上傳到一個意料不到的網站中,隨後他們更是發現該網站有一個 SQL 註入漏洞,該漏洞可以訪問“top100”數據庫的所有記錄。
在這個數據庫中,該技術組發現瞭一個名為“aid”的數據表包含瞭總共 225941 個詞條,大約有 20000 個詞條包含瞭用戶名、密碼和 GUID。
通過逆向查找越獄插件,技術組發現瞭一個使用 AES 密匙加密的代碼(mischa07),加密後的用戶名和密碼可以成功地使用這種靜態密鑰解密。隨後技術組證實列出的都是蘋果賬戶用戶名和經過驗證的證書。
8 月 25 日下午,技術組將漏洞細節提交烏雲漏洞報告平臺,並且也提交至第三方合作機構(CNCERT國傢互聯網應急中心)處理。
8 月 26 日下午,技術組成員在其微博上公佈,泄露的 22萬賬號隻扒下12萬時後臺數據就被清除瞭。
KeyRaider的傳播
KeyRaider是通過源傳播到 iOS 設備的,和 BigBoss 源和 ModMyi 源不同,還為註冊的用戶提供私有源功能,用戶可以直接上傳自己的應用和插件。
一位名為“mischa07”的用戶上傳瞭至少 15 個 KeyRaider 的樣本到他的個人源中,因為他的用戶名被硬編碼到惡意軟件中作為加密和解密鑰匙,所以技術組懷疑 mischa07 就是本次事件的始作俑者。
根據網頁顯示,mischa07上傳的插件被下載的次數很多均超過1萬次,他上傳的插件大多提供遊戲作弊、系統更改和去應用廣告等功能。
mischa07 還上傳瞭兩個“有趣”的插件到其個人源。
iappstore:可以在 App Store 下載付費應用而無需付款
iappinbuy:可用在 App Store 內下載應用的內購項目,完全免費
另一個對 KeyRaider 有所“貢獻”的是另一個用戶刀八木,他的個人源在論壇裡也同樣非常受歡迎,不過在這次事件發生後,刀八木刪除瞭所有之前上傳的惡意軟件,後來他在論壇極力否認這件事。不過在技術人員的幫助下,安全人員發現找到瞭他曾經上傳過的應用和插件,並發現至少有 77 個安裝瞭 KeyRaider 的惡意程序。mischa07 似乎是制造惡意程序並開發成不同的版本的人,而刀八木則通過將現有的應用或插件重新打包來註入惡意程序,其中包括一些像 iFile、iCleanPro 等插件。
從泄露的數據來看,有超過 67%的被盜賬戶均來自刀八木。
偷取用戶數據
KeyRaider 會收集 3 種用戶數據,並通過 HTTP 上傳到 C2 服務器,安全人員確定瞭兩個不同的 C2 服務器。
top100.gotoip4.com
www.wushidou.cn
在分析期間,這些域名都和 113.10.174.167 這個 IP 有關,在服務器的“top 100”數據庫中有 3 個數據表,分別是:“aid”、“cert”和“other”。KeyRaider 使用瞭 4 個 PHP 腳本來在服務器上訪問數據庫,分別是:aid.php、cert.php、other.php和data.php。
經發現,“aid”數據表存儲瞭 225941 個被盜的 Apple ID 用戶名、密碼和設備的 GUID 組合。“cert”數據表存儲瞭 5841 個受感染設備證書和隱私鑰匙的詞條。最後,“other”數據表存儲瞭超過 3000 個設備 GUID 和來自 App Store 服務器的購買收據詞條。
從被盜的 Apple ID 中對郵件地址進行分類,有超過一半的郵件服務是由騰訊提供。
除瞭國內的用戶之外,從數據中還發現瞭其它國傢和地區的域名,包括:
tw: Taiwan
fr: France
ru: Russia
jp: Japan
uk: United Kingdom
ca: Canada
de: Germany
au: Australia
us: United States
cz: Czech Republic
il: Israel
it: Italy
nl: Netherlands
es: Spain
vn: Vietnam
pl: Poland
sg: Singapore
kr: South Korea
惡意行為
KeyRaider 惡意代碼存在於用作 MobileSubstrate 框架插件的 Mach-O 動態庫,通過 MobileSubstrate 的 API,惡意軟件註入瞭系統進程或者其它 iOS 應用中的任意 API。
KeyRaider 使用瞭之前一些惡意軟件中的技術並加強,其惡意行為主要包括以下幾個方面:
盜取蘋果賬戶(用戶名和密碼)和設備 GUID
盜取蘋果推送通知服務的證書和私人鑰匙
阻止受感染設備通過密碼或 iCloud 服務進行解鎖
免費應用
一些 KeyRaider 惡意程序樣本通過執行代碼來下載購買收據和 C2 服務器的蘋果賬號。然而,隻有越獄插件 iappstore 和 iappinbuy 才會被真正使用。
手機勒索
除瞭偷取蘋果賬號來購買應用之外,KeyRaider 還可以通過內置功能對 iOS 設備進行勒索。
以往的一些 iPhone 勒索往往是通過 iCloud 服務遠程控制 iOS 設備。在一些情況下可通過重置賬戶密碼來重新獲得對 iCloud 的控制。但 KeyRaider 不同,它可以本地禁用任何類型的解鎖操作,無論你是否輸入正確的密碼。此外它同樣可以通過偷取的證書和私人鑰匙向你的設備發送信息來勒索用戶,讓你付款然後可能會幫你解鎖。因為這個惡意軟件的特殊性,之前可用的一些應對辦法也不再適用。
現金回流
不法分子可以使用偷來的賬戶從 App Store 購買付費應用,這些支出是由“受害人”承擔的,但錢將會支付給蘋果並有部分返還給開發者,某些開發者就可以和不法分子分享收入,當然並不是所有的開發者都會立心不良。
其它風險
一些開發者可能會為自己的應用買單,從而讓自己的應用能夠在 App Store 中獲得更好的位置。使用盜取的數據,不法分子可以在 iOS 設備上安裝應用來增加下載量,也就是俗稱的“刷榜”。
勒索
擁有蘋果的賬戶和密碼,就意味著不法分子可以通過 iCloud 服務來獲得你 iOS 設備中的其它信息。
垃圾郵件
有效的蘋果賬戶用戶名可以被單獨出售,用於垃圾郵件的投放,相信這個大傢都已經非常熟悉瞭。
設備解鎖
這些被盜的賬戶還可能流入另一個市場,蘋果的安全機制要求你在抹除和二次銷售設備的時候要驗證 Apple ID。
其它未來的威脅
結合 iCloud 的個人數據,被盜的賬戶可能還會被用來進行社交工程(一個有經驗的黑客能會通過收買或欺騙獲得機密數據,這種常見的攻擊方式被稱為社會工程)、欺詐和有目標性的攻擊。
更多精彩內容,小夥伴還可以關註蘋果資訊站>>>點擊進入