- 註冊時間
- 2010-8-15
- 最後登錄
- 2017-7-31
- 主題
- 查看
- 積分
- 154
- 閱讀權限
- 40
- 文章
- 285
- 相冊
- 0
- 日誌
- 0
狀態︰
離線 
|
iOS惡意軟件KeyRaider如何盜取超過22.5萬蘋果帳戶
2015-09-02 11:47 月盡西樓 FreeBuf
概要
最近威鋒技術組發布微博稱發現蘋果商店後台存在漏洞,22.5萬有效蘋果帳戶密碼被盜。他們對外公布了iCloud帳號泄露查詢工具(地址),只要輸入用戶郵箱,就可以查詢其iCloud帳號是否被盜。
在與威鋒技術組的合作過程中,我們(paloaltonetworks研究人員)選取了92個最新iOS惡意軟件家族的樣本。通過分析樣本我們發現這個叫做“KeyRaider”的終極惡意軟件。我們認為這是目前針對蘋果帳戶的影響最為嚴重的惡意軟件。
KeyRaider的目標是越獄iOS設備,並通過位於中國的第三方Cydia存儲庫進行分布。總的來說,這一威脅目前可能影響到來自18個國家的用戶,其中包括中國、法國、俄羅斯、日本、英國、美國、加拿大、德國、澳大利亞、以色列、義大利、西班牙、新加坡和韓國。
惡意軟件通過MobileSubstrate釣取系統進程,然後通過攔截設備上iTunes的流量盜取蘋果帳戶用戶名、密碼以及設備GUID。KeyRaider盜取蘋果推送通知服務的證書以及私鑰,竊取並分享App Store購物信息,禁用iPhone和iPad上本地和遠程的解鎖功能。
KeyRaider成功盜取了22.5萬有效蘋果帳戶以及成千上萬的證書、私鑰以及購物憑證。惡意軟件將盜取的數據傳到智慧與控制(C2)服務器上,而服務器本身就存在漏洞,因此用戶資訊再度暴露。
攻擊原本的目的是為了讓使用了兩個越獄工具的iOS用戶能夠在沒有實際支付的情況下,使用官方應用商店的收費App。而越獄軟件通常能幫助用戶實現這一無法在正常情況下完成的行為。
而這兩個越獄工具能夠從C2服務器上劫持app購買請求、下載用戶信息或者購買憑證,然後用戶模仿iTunes協議登錄Apple的服務器並執行購買app或者其他項目的請求。這兩個越獄工具的下載量已超過2萬次,也就意味著有至少2萬用戶正在濫用22.5萬的被盜憑證。
一些受害者稱他們被盜的蘋果賬戶顯示了異常App購買記錄,不僅如此,還有人的手機收到了歹徒勒索要求。
這裡我們將介紹這個惡意軟件和攻擊的詳細情況。
發現KeyRaider
首次發現這個漏洞的是來自揚州大學的一個學生,網名為“i_82”,他同時也是威鋒技術組的成員。
事情從頭說起:
6月30日,蘋果發布iOS 8.4正式版。
7月初,第一次大規模盜刷事件爆發,7月17-20日,第二次大規模盜刷事件爆發。而這些被盜刷的用戶包括下載過各類助手軟件、越獄過的用戶,也包括從未越獄過的用戶。
8月25日凌晨,威鋒技術組成員發現某紅包助手後台漏洞,發現20萬個左右有效的iCloud帳戶與密碼。並於當天下午將漏洞提交。
8月26日下午,威鋒技術組成員在其微博上公布,泄露的22萬帳號只扒下12萬時後台數據就被清除了,並在隨後指出,基本上確認這次的盜號事件和刀八木有脫不開的關系!如果有安裝它的插件的(不管什麼插件)請全部卸載並更改您的全部的Apple相關的密碼!!!
8月27日凌晨,威鋒技術組對外公布iCloud帳號泄露查詢工具正式對外公開查詢,查詢地址為:http://www.weiptech.org/ 。包含被扒下來的,被泄露盜取的Apple ID的有效數據量為105275條,其中來源八木的有69485條,來源iwexin的有9223條。而為了保護用戶隱私,防止密碼二次泄露,該查詢工具只會顯示被盜密碼前後的數據,其他部分均予以隱去。
8月27日上午,蘋果官方做出反應。威鋒技術組將相關帳號提供給蘋果安全部門後,蘋果緊急對這批帳號做出了安全措施。如果用戶在登錄iCloud要求修改密碼,則有可能該戶帳在本次泄露名單中。
8月27日中午,威鋒技術組發布微博,“自12:57分開始,威鋒技術組提供查詢服務器遭受DDoS攻擊。目前服務器訪問緩慢,正在聯繫威鋒網總部處理。”這意味著,在威鋒技術組揪出盜竊帳戶黑手後,對一部分黑手的既得利益產生影響,從而受到了惡意攻擊。
8月27日下午,威鋒技術組成員再一次發表微博,提醒所有iCloud用戶,改密碼是當務之急,開二步驗證式無法杜絕利用刷綁的,最重要最重要最重要的是防止被惡意鎖機!
研究者通過觀察這些用戶安裝的越獄軟件,發現一個越獄軟件收集用戶資訊並上傳到一個特殊網站上面。而這個網站有一個簡單的SQL注入漏洞,允許攻擊者訪問“top100”數據庫中的全部記錄。
圖1.威鋒技術組在C2服務器中發現的SQL注入漏洞
在這個數據庫中,有一個表名為“aid“,包含225941個條目。盡管部分條目有加密,但是其中仍然有大約2萬條中包含用戶名、密碼和GUID明文。
通過逆向越獄軟件,研究者發現一段代碼使用定向鍵“mischa07“的AES加密。使用這個靜態密碼能夠成功破解加密的用戶名和密碼。後來經證實,這些帳戶都是蘋果用戶名及憑證。研究者下載了大約一半的數據之後,網站管理員發現這一情況隨即關閉了服務器。
然而分析了威鋒技術組的報告之後,Palo Alto網絡研究人員並沒有發現報告中提到的包含竊取密碼並將其上傳到C2服務器的惡意代碼。然而,通過威鋒提供的相關資訊,我們發現存在其他惡意軟件在收集用戶被盜的信息並將其上傳到同樣的邪惡服務器上面。
KeyRaider分布
KeyRaider只能通過越獄iOS設備的Cydia儲備庫傳播。與其他(例如BigBoss或ModMyi)Cydia源不同的是,威鋒源為每個註冊用戶提供了私人存儲庫功能,因此他們能夠直接自行下載App並且相互分享。
一個名為“mischa07”的威鋒網用戶,上傳了15個KeyRaider樣本到他自己的私人存儲庫中(圖2),由於他的名字也被編碼到惡意軟件的加密和解密秘鑰當中(圖3),因此我們強烈懷疑mischa07便是KeyRaider的原創作者。
圖2.mischa07的個人Cydia存儲庫
圖3.“mischa07”是惡意軟件中的一個硬編碼加密秘鑰
從威鋒網的數據可以看出,mischa07上傳的工具已經被下載超過數萬次。這些應用和工具為游戲作弊外掛、系統優化以及App去廣告服務。
以下是mischa07的兩個比較有意思的工具:
•iappstore(圖5):為用戶免費下載蘋果官方應用商店中的付費軟體提供服務。
•Iappinbuy:這個軟件可以把那些應用內購買的項目都變成免費的。
Mischa07甚至在論壇發布了這兩個工具的帖子進行推廣,但是一些用戶還是不相信它們所謂的神奇功能。然而,iappinbuy仍然獲得了20199次下載量(圖4),而iappstore只有62次(這僅僅是最新版本的數量)。
圖4.一個惡意軟體樣本下載超過3萬次
圖5.iappstore工具能夠直接從App Store安裝付費App
圖6.作者發帖推廣他的iappstore工具
威鋒網用戶“刀八木”或稱“bamu”,被認為是KeyRaider惡意軟件的另一個傳播者。刀八木因為其經常提供有用的工具而很受歡迎。攻擊被曝光後,刀八木刪除了幾乎所有他上傳至存儲庫的惡意軟件,並在論壇對這一指責予以否認。然而,在核查過他上傳的所有App或者工具之後,我們發現至少有77人的iOS設備安裝了KeyRaider惡意軟件。
Mischa07創建了這個惡意軟件並且開發了不同版本,而bamu的惡意程序則主要通過惡意軟件重新包裝(例如iFile、iCleanPro和avfun的)已有應用程序或者工具。
KeyRaider向C2服務器上傳劫持的用戶密碼時,裡面會包括一個在HTTP URL中用於追蹤感染源的參數,名為“flag”或者“from”。在mischa07的代碼中,這些參數的值總是應用程序的名稱,例如“letv”。而在bamu的樣本中,所有的值永遠都是“bamu”。從泄露數據中發現,67%的被盜數據來源於bamu。
由於bamu僅是一個散布者,我們後面的分析會聚焦於直接發布者mischa07的樣本。
被盜取的用戶數據
KeyRaider收集了三類用戶數據並且用HTTP上傳到了自己的C2服務器上,我們定位到了兩種C2服務器:
•top100.gotoip4[.]com
•www.wushidou[.]cn
在分析過程中,這些域名可解析到IP地址113.10.174.167。在這個服務器上“top100”數據庫有三個表:“aid”、“cert”和“other”。KeyRaider在服務器上使用了四個PHP腳本來獲取數據庫:aid.php、cert.php、other.php以及data.php。
通過分析代碼和數據,我們發現"aid"表格存儲了225941條泄漏的Apple用戶名,密碼,設備的GUID(全球唯一標識符)。"cert"表格存儲5841個受感染設備的入口和私鑰,它們可用於蘋果推送消息。最後,"other"表格存儲了超過3000設備GUID入口和A pp Store的購買憑證。
圖7.一個被泄露的cert表中條目
我們整理了泄漏Apple用戶的email地址發現超過一半用的是QQ郵箱,下面是TOP10的泄漏郵箱的域名(近六成是中國用戶):
• @qq.com
• @163.com
• @icloud.com
• @gmail.com
• @126.com
• @hotmail.com
• @sina.com
• @vip.qq.com
• @me.com
• @139.com
然而我們也發現了一些其他地區的email地址:
• tw: Taiwan台灣
• fr: France法國
• ru: Russia俄羅斯
• jp: Japan日本
• uk: United Kingdom英國
• ca: Canada加拿大
• de: Germany德國
• au: Australia澳大利亞
• us: United States美國
• cz: Czech Republic捷克
• il: Israel以色列
• it: Italy意大利
• nl: Netherlands荷蘭
• es: Spain西班牙
• vn: Vietnam越南
• pl: Poland波蘭
• sg: Singapore新加坡
• kr: South Korea韓國
惡意行為
KeyRaider的惡意代碼存在於Mach-O動態庫,作為MobileSubstrate框架的插件外掛存在。(iOS系統越獄環境下安裝絕大部分插件,必須首先安裝MobileSubstrate) 惡意軟件通過此框架就可以鉤取任意APP甚至系統進程的API。
曾經也有許多的iOS惡意軟件利用了MobileSubstrate框架。例如Unflod(又稱SSLCreds或Unflod baby panda)被Reddit上的用戶發現,SektionEins分析其通過攔截SSL加密線路偷取Apple帳戶密碼。AppBuyer去年被發現應用同樣的技術偷取密碼並從APP Store購買APP。KeyRaider在此技術上又向前了一步,實現了以下功能:
1、偷取用戶戶帳和設備GUID
2、偷取證書和蘋果推送的私鑰
3、預防感染設備通過密碼或iCloud設備解鎖
偷取蘋果帳戶數據
大多數KeyRaider的樣本鉤取SSL的讀寫函數都在itunesstored的進程裡,itunesstored是系統的守護進程,用iTurnes協議與App Store通信。
KeyRaider鉤取itunesstored中的SSL讀寫函數
圖8.KeyRaider勾取itunesstored中的SSL讀寫函數
當App Store 客戶端向用戶請求數據登錄時,信息是通過SSL加密會話傳輸給App Store 的服務器,KeyRaider尋找這種登錄會話和特定的方式在數據傳輸過程中發現用戶的帳戶信息,設備GUID(圖9)。
尋找SSL數據中的蘋果帳戶信息
圖9.尋找SSL數據中的蘋果帳戶信息
接著,在SSL讀的替代函數中,這些證書都是用固定密鑰“mischa07”AES算法加密後發給KeyRaider的C2服務器(圖10)。
上傳數據到C2服務器
圖10.上傳數據到C2服務器
除此之外,SSL勾取函數利用MGCopyAnswer(“UniqueDeviceID”)讀取設備GUID碼。
偷取用戶證書和私鑰
一些樣本中,KeyDaider 同樣勾取了apsd進程(一種iOS用於推送消息的守護進程)勾取了安全框架中定義的SecltemCopyMatching 函數,這個API用於尋找密鑰項來匹配match查詢詞條。
安裝勾取之後,當查詢詞條為“APSClientIdentity”時,KeyRaider執行原始安全項目複製匹配,用 SecIdentityCopyCertificate和SecIdentityCopyPrivateKey 從原始函數返回結果複製證書和私鑰,這些證書和GUID一起發送到C2服務器。IOS鑰匙鏈中以APSClientIdentity標記的是IOS中用來推送消息的密鑰。攻擊者可以利用這些證書創建一個假的系統推送:
複製推送服務器的證書以及秘鑰
圖11. 複製推送服務器的證書以及秘鑰
上傳證書和秘鑰
圖12.上傳證書和秘鑰
設備上鎖
當KeyRaider勾取SecItemCopyMatching時除了攔截了通知的證書還將查詢請求標簽和一個非常特殊的標簽“com.apple.lockdown.identity.activation”做了對比,如果匹配就把請求置零(圖13)。
設置鎖定激活結果總為零
圖13.設置鎖定激活結果總為零
此時網絡沒有任何com.apple.lockdown.identity.activation的公共記錄,我們猜測這個查詢用於解鎖設備。通過置零操作預防用戶解鎖設備,本地輸入密碼和雲端解鎖都不行。
樣本分析至此,這段代碼獨立而且沒有被任何代碼引用,只在此處使用並以函數輸出,但是我們有證據表明利用此函數的攻擊已經發生。
共享免費APP
KeyRaider一些樣本執行代碼用來從C2服務器下載購買憑據和蘋果賬戶,然而只有在 iappstore和iappinbuy 越獄配置中才起作用。
據作者描述,iappstore可以用於免費下載任何應用,讓我們來看看怎麼實現。
這個應用兩次勾取了SSLWrite API ,第一次偷取密碼,第二次試圖判定當前http請求是否和 “POST /WebObjects/MZBuy.woa/wa/buyProduct”一致,這是用於判定當前會話是否在用iTunes協議購買APP(圖14)。
勾取app購買會話
圖14.勾取app購買會話
如果請求是在購買,下一次SSLWrite調用,勾取代碼匹配數據中關鍵字“salableAdamId”, “appExtVrsId”, “vid”, “price”, “guid”, “installedSoftwareRating” 和 “pricingParameters” 用以定位當前APP的支付信息,如果APP不是免費的 fire()函數調用。
fire()函數調用readAid()函數,readAid()讀取本地文件/var/mobile/Documents/iappstore_aid.log 。此文件包含蘋果用戶帳戶信息,設備GUID,iTurnes 會話 token,cookie,電話號碼,操作系統信息和iTunes CDN 服務器編號。函數分析數據並創建帳戶對像。
如果文件不存在,就調用readAidUrl()函數就從C2服務器下載新的帳戶信息再創建帳戶對象(圖15),圖16表示從服務器下載的戶帳。
從C2服務器下載蘋果帳號
圖15.從C2服務器下載蘋果帳號
被盜取的蘋果帳戶正在從C2服務器下載
圖16.被盜取的蘋果帳戶正在從C2服務器下載
創建帳戶對像後,fire()生成一種帳戶信息參數表,接著調用login(),sendBuy()。
login()函數用參數表語句和AppStore帳戶創建一個HTTP連接到下面的url:
• p*-buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/authenticate
這導致當前iTunes會話遠程帳戶登錄(圖17)。
模擬登錄協議
圖17.模擬登錄協議
登錄請求後,login()分析返回的結果,cookie,token和其他信息並和密碼一起保存到本地iappstore_aid.log 以便下次購買。如果登錄失敗密碼錯誤,再次調用readAidUrl()從C2服務器獲取另一個帳號。
sendBuy()函數工作類似login()函數 請求了另一個url用於APP購買認證:
• p*-buy.itunes.apple.com/WebObjects/MZBuy.woa/wa/buyProduct
這麼一套程序下來,iappstore tweak 可以用其他人的帳戶成功購買任何App。
至此,除了這些作用外,兩個獨立函數versifySF()和versifySF2()在樣本中也執行了,KeyRaider也試圖獲取並使用帳戶密保問題和答案,這一部分功能在樣本中還沒有完成。
iappinpay的功能類似於iappstore(圖18),唯一的區別是購買接口改變和利用一些變量,因為C2服務器數據庫也存儲著之前的APP購買的憑證,看起來作者還計劃著重用這些憑證,可能把它們發送到手機到證明之前已經買過了這個APP。
In-App-Purchase 認證請求
圖18.In-App-Purchase 認證請求
劫持手機勒索贖金
除了偷帳戶買App之外,KeyRaider還有劫持iOS手機勒索的功能。
一些之前的iPhone勒索攻擊基於iCloud服務遠程控制手機技術。其中有一些重置密碼就可以重新控制iCloud。KeyRaider不一樣,它本身禁止任何的解鎖操作,包括輸密碼和iCloud重置。利用私鑰和證書可以直接發提示信息要求贖金,不用經過蘋果的推送服務。因為這種設計,以前的解決辦法都無效了。
我們知道KeyRaider已經能劫持勒索了,作為一個受害者你只能痛苦的看到以下
畫面 解鎖加QQ 和電話(圖19)。
被鎖iPhone收到的勒索信息
圖19.被鎖iPhone收到的勒索信息
其他的潛在危險
早在四月的Palo Alto Networks Ignite 大會上,我們介紹了地下市場和iOS攻擊的供應鏈,KeyRaider在此黑色邪惡供應鏈中扮演了一個非常重要的角色。
以一個受害者的蘋果帳戶密碼,攻擊者可以發起任何附加的攻擊。例如,通過iCloud控制設備,竊取私人信息包括短信記錄,照片,郵件,文件和地理位置。2014年好萊塢艷照門事件,引起公眾的廣泛重視蘋果帳戶認證的潛在威脅。
另外,還有好多方法利用這些被盜帳戶:
APP升級
一些開發者會付錢給自己的APP提升商店中的排名,裝機量是提升排名的重要因素。利用竊取的數據,攻擊者很容易安裝升級APP以提升排名。事實上,許多KeyRaider的受害者聲稱他們的蘋果帳戶有異常的下載歷史使它們發現了這樣的攻擊。
現金返回
攻擊者用竊取的帳號從APPStore購買付費的APP。費用由受害者出,但是收益會流到蘋果公司並給開發者一部分。開發者和攻擊者串通分髒,像APPBuyer那樣運作是完全可能的事情。
垃圾郵件
合法的蘋果帳戶可以單獨賣給垃圾郵件發送方。以前SMS垃圾郵件發送需要花錢而且容易被查水表。然而,基於iMessage的發送僅需要網絡和接受者的ID。這種方法在近幾年非常流行。
勒索
手握受害者的帳戶信息,它們的設備和iCloud中的文件對攻擊者來說都會產生許多附加收益。
設備解鎖
這些竊取的帳戶仍然可以在其他的市場上售賣。蘋果有一個安全機制預防設備丟失或者設備被擦除重新售賣,需要你在擦除之前認證蘋果帳戶。如今這有一個個人市場定位設備的帳戶信息。
未來的攻擊方向
結合iCloud的個人信息,竊取的帳戶仍可用於社會工程,欺騙和定點攻擊。
預防和防護
一定要記住KeyRaider只運行在越獄的iOS設備上,沒有越獄的iOS設備不受此類攻擊的影響。
Palo Alto網絡8月26日提供了被盜帳戶的信息。威鋒技術組在攻擊者修復漏洞之前只能修復大約一半的帳戶。從不信任的Cydia資源安裝的APP或優化工具仍然受影響。
Palo Alto網絡已經發布了DNS簽名覆蓋了KeyRaider的C2服務線路防止惡意軟件。
用戶有以下措施判斷設備是否被感染:
1、通過Cydia安裝openssh 服務
2、SSH連接設備
3、打開/Library/MobileSubstrate/DynamicLibraries/ 檢索以下字符串:
• wushidou
• gotoip4
• bamu
• getHanzi
如果任何dylib文件包含其中任何一個字符串,我們建議刪除它並刪除同名的參數表文件,然後重啟設備。
還建議所有受影響的用戶刪除惡意軟件後修改蘋果帳戶的密碼,開啟蘋果帳戶的二次認證。查看詳細點擊這裡。
首先建議不想遭受此類攻擊的用戶,可以避免的話萬萬不要給自己的iphone或ipad越獄。此時,Cydia的程序庫對上傳的軟件沒有任何嚴格的檢查措施,用Cydia的程序需要自己承擔風險。
樣本信息
一些KeyRaider的樣本SHA-1值陳列如下:http://paloaltonetworks.app.box.com/KeyRaiderSamples
9ae5549fdd90142985c3ae7a7e983d4fcb2b797f CertPlugin.dylib
bb56acf8b48900f62eb4e4380dcf7f5acfbdf80d MPPlugin.dylib
5c7c83ab04858890d74d96cd1f353e24dec3ba66 iappinbuy.dylib
717373f57ff4398316cce593af11bd45c55c9b91 iappstore.dylib
8886d72b087017b0cdca2f18b0005b6cb302e83d 9catbbs.GamePlugin_6.1-9.deb
4a154eabd5a5bd6ad0203eea6ed68b31e25811d7 9catbbs.MPPlugin_1.3.deb
e0576cd9831f1c6495408471fcacb1b54597ac24 9catbbs.iappinbuy_1.0.deb
af5d7ffe0d1561f77e979c189f22e11a33c7a407 9catbbs.iappstore_4.0.deb
a05b9af5f4c40129575cce321cd4b0435f89fba8 9catbbs.ibackground_3.2.deb
1cba9fe852b05c4843922c123c06117191958e1d repo.sunbelife.batterylife_1.4.1.deb
附上一枚KeyRaider樣本,解壓密碼KeyRaider
鳴謝
特別感謝揚州大學的i_82童鞋和威鋒科技組與我們分享資訊、報導以及各種有用的信息;
感謝威鋒科技的CDSQ和感謝Weiphone提供樣本;
感謝烏雲社區Xsser和Fenggou信息分享;
感謝Palo Alto 網絡的Sereyvathana Ty、Zhaoyan Xu 和 Rongbo Shao 察覺了威脅;
感謝Palo Alto網絡Ryan O’lson的審校工作。
*PaloAlto報告作者:ClaudXiao,主體內容取材於該報告。
http://netsecurity.51cto.com/art/201509/490131_4.htm
|
|
發表於 2015-9-7 16:07:07
