来龙去脉:22万个iCloud账户被盗的那些事

iCloud被大规模盗号再引担忧,事情的始末又是怎样的呢?近日,由威锋技术组发现疑似 iOS 插件导致 22 万个 iCloud 泄露的消息让越狱安全再次被热论,安全员 Claud Xiao 对此次 iCloud 账号泄露事件以及盗号插件进行了更详细的分析,下面就让我们了解一下事情的来龙去脉。

事件简述

安全人员通过和威锋技术组的合作,共有 92 个新的iOS恶意软件样本被发现。在对始作俑者的最终目的进行分析后,他们将这些恶意软件命名为“KeyRaider”,这也是导致 iCloud 账号被大规模被盗的主因。

KeyRaider 瞄准的是越狱的 iOS 设备,这些恶意软件来源国内,不过似乎受影响的并不仅仅是中国的用户,目前这些软件已经被传播到多达 18 个国家,包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等地。

该恶意软件通过 Mobile Substrate 来注入系统,并通过拦截 iTunes 流量从而窃取苹果账号、密码和设备的 GUID。KeyRaider 偷取苹果推送通知的服务证书和私人钥匙,偷取并分享 App Store 的购买信息,并且禁用iPhone和 iPad 的本地和远程解锁功能。

KeyRaider 成功偷取了超过 225000 个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意软件还将偷取来的数据上传到 C2(指令和控制)服务器,该服务器本来就包含了众多的漏洞,用户的信息也因此遭到泄露。

本次攻击的对象是安装了两个特定插件的越狱用户,这两个插件可以让用户免费从 App Store 下载应用,或者是免费购买应用内购内容。

这两个插件会劫持应用购买的请求,下载被盗的账户或者 C2 服务器购买收据,然后模仿 iTunes 协议来登入苹果的服务器,并购买应用或者是用户要求的其它项目。这些越狱插件已经被下载超过 2 万次,这意味着大约有 2 万用户在滥用 225000 个被盗的证书。

一些“受害者”表示他们的苹果账户显示了不正常的应用购买历史,而一些用户的手机更是被锁且被勒索钱财。

发现 KeyRaider

这个恶意软件最初被威锋技术组的成员 i_82 发现,在今年的 7 月,因为收到了不少用户指出的未经授权的 iOS 应用在自己的设备异常出现后,威锋技术组的成员便开始了调查工作。通过查看报告问题用户的越狱插件,他们发现了一个插件会收集用户的信息,并上传到一个意料不到的网站中,随后他们更是发现该网站有一个 SQL 注入漏洞,该漏洞可以访问“top100”数据库的所有记录。

在这个数据库中,威锋技术组发现了一个名为“aid”的数据表包含了总共 225941 个词条,大约有 20000 个词条包含了用户名、密码和 GUID。

通过逆向查找越狱插件,威锋技术组发现了一个使用 AES 密匙加密的代码(mischa07),加密后的用户名和密码可以成功地使用这种静态密钥解密。随后威锋技术组证实列出的都是苹果账户用户名和经过验证的证书。

8 月 25 日下午,威锋技术组将漏洞细节提交乌云漏洞报告平台,并且也提交至第三方合作机构(CNCERT国家互联网应急中心)处理。

8 月 26 日下午,威锋技术组成员在其微博上公布,泄露的 22万账号只扒下12万时后台数据就被清除了。

KeyRaider的传播

KeyRaider 是通过威锋源传播到 iOS 设备的,和 BigBoss 源和 ModMyi 源不同,威锋源还为注册的用户提供私有源功能,用户可以直接上传自己的应用和插件。

一位名为“mischa07”的威锋用户上传了至少 15 个 KeyRaider 的样本到他的个人源中,因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙,所以威锋技术组怀疑 mischa07 就是本次事件的始作俑者。

根据威锋的网页显示,mischa07 上传的插件被下载的次数很多均超过1万次,他上传的插件大多提供游戏作弊、系统更改和去应用广告等功能。

mischa07 还上传了两个“有趣”的插件到其个人源。

iappstore:可以在 App Store 下载付费应用而无需付款

iappinbuy:可用在 App Store 内下载应用的内购项目,完全免费

另一个对 KeyRaider 有所“贡献”的是另一个威锋用户刀八木,他的个人源在论坛里也同样非常受欢迎,不过在这次事件发生后,刀八木删除了所有之前上传的恶意软件,后来他在论坛极力否认这件事。不过在威锋的帮助下,安全人员发现找到了他曾经上传过的应用和插件,并发现至少有 77 个安装了 KeyRaider 的恶意程序。mischa07 似乎是制造恶意程序并开发成不同的版本的人,而刀八木则通过将现有的应用或插件重新打包来注入恶意程序,其中包括一些像 iFile、iCleanPro 等插件。

从泄露的数据来看,有超过 67%的被盗账户均来自刀八木。

偷取用户数据

KeyRaider 会收集 3 种用户数据,并通过 HTTP 上传到 C2 服务器,安全人员确定了两个不同的 C2 服务器。

• top100.gotoip4.com

• www.wushidou.cn

在分析期间,这些域名都和 113.10.174.167 这个 IP 有关,在服务器的“top 100”数据库中有 3 个数据表,分别是:“aid”、“cert”和“other”。KeyRaider 使用了 4 个 PHP 脚本来在服务器上访问数据库,分别是:aid.php、cert.php、other.php和data.php。

经发现,“aid”数据表存储了 225941 个被盗的 Apple ID 用户名、密码和设备的 GUID 组合。“cert”数据表存储了 5841 个受感染设备证书和隐私钥匙的词条。最后,“other”数据表存储了超过 3000 个设备 GUID 和来自 App Store 服务器的购买收据词条。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

Baidu
map