真相曝光:22万个iCloud账户被盗始末
- 09 月 01 日
- 威锋
- 12792
近日,疑似 iOS 插件导致 22 万个 iCloud 泄露的消息让越狱安全再次被热论,安全员 Claud Xiao 对此次 iCloud 账号泄露事件以及盗号插件进行了更详细的分析,下面就让我们了解一下事情的来龙去脉。文章最后附上查询地址,各位可以查询是否中招,如果已泄漏请及时修改 iCloud 密码。
事件简述
安全人员通过和威锋技术组的合作,共有 92 个新的iOS恶意软件样本被发现。在对始作俑者的最终目的进行分析后,他们将这些恶意软件命名为“KeyRaider”,这也是导致 iCloud 账号被大规模被盗的主因。
KeyRaider 瞄准的是越狱的 iOS 设备,这些恶意软件来源国内,不过似乎受影响的并不仅仅是中国的用户,目前这些软件已经被传播到多达 18 个国家,包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等地。
该恶意软件通过 Mobile Substrate 来注入系统,并通过拦截 iTunes 流量从而窃取苹果账号、密码和设备的 GUID。KeyRaider 偷取苹果推送通知的服务证书和私人钥匙,偷取并分享 App Store 的购买信息,并且禁用 iPhone 和 iPad 的本地和远程解锁功能。
KeyRaider 成功偷取了超过 225000 个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意软件还将偷取来的数据上传到 C2(指令和控制)服务器,该服务器本来就包含了众多的漏洞,用户的信息也因此遭到泄露。
本次攻击的对象是安装了两个特定插件的越狱用户,这两个插件可以让用户免费从 App Store 下载应用,或者是免费购买应用内购内容。
这两个插件会劫持应用购买的请求,下载被盗的账户或者 C2 服务器购买收据,然后模仿 iTunes 协议来登入苹果的服务器,并购买应用或者是用户要求的其它项目。这些越狱插件已经被下载超过 2 万次,这意味着大约有 2 万用户在滥用 225000 个被盗的证书。
一些“受害者”表示他们的苹果账户显示了不正常的应用购买历史,而一些用户的手机更是被锁且被勒索钱财。
发现 KeyRaider
这个恶意软件最初被威锋技术组的成员 i_82 发现,在今年的 7 月,因为收到了不少用户指出的未经授权的 iOS 应用在自己的设备异常出现后,威锋技术组的成员便开始了调查工作。通过查看报告问题用户的越狱插件,他们发现了一个插件会收集用户的信息,并上传到一个意料不到的网站中,随后他们更是发现该网站有一个 SQL 注入漏洞,该漏洞可以访问“top100”数据库的所有记录。
在这个数据库中,威锋技术组发现了一个名为“aid”的数据表包含了总共 225941 个词条,大约有 20000 个词条包含了用户名、密码和 GUID。
通过逆向查找越狱插件,威锋技术组发现了一个使用 AES 密匙加密的代码(mischa07),加密后的用户名和密码可以成功地使用这种静态密钥解密。随后威锋技术组证实列出的都是苹果账户用户名和经过验证的证书。
8 月 25 日下午,威锋技术组将漏洞细节提交乌云漏洞报告平台,并且也提交至第三方合作机构(CNCERT国家互联网应急中心)处理。
8 月 26 日下午,威锋技术组成员在其微博上公布,泄露的 22万账号只扒下12万时后台数据就被清除了。
KeyRaider的传播
KeyRaider 是通过威锋源传播到 iOS 设备的,和 BigBoss 源和 ModMyi 源不同,威锋源还为注册的用户提供私有源功能,用户可以直接上传自己的应用和插件。
一位名为“mischa07”的威锋用户上传了至少 15 个 KeyRaider 的样本到他的个人源中,因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙,所以威锋技术组怀疑 mischa07 就是本次事件的始作俑者。
根据威锋的网页显示,mischa07 上传的插件被下载的次数很多均超过1万次,他上传的插件大多提供游戏作弊、系统更改和去应用广告等功能。
mischa07 还上传了两个“有趣”的插件到其个人源。
iappstore:可以在 App Store 下载付费应用而无需付款
iappinbuy:可用在 App Store 内下载应用的内购项目,完全免费
另一个对 KeyRaider 有所“贡献”的是另一个威锋用户刀八木,他的个人源在论坛里也同样非常受欢迎,不过在这次事件发生后,刀八木删除了所有之前上传的恶意软件,后来他在论坛极力否认这件事。不过在威锋的帮助下,安全人员发现找到了他曾经上传过的应用和插件,并发现至少有 77 个安装了 KeyRaider 的恶意程序。mischa07 似乎是制造恶意程序并开发成不同的版本的人,而刀八木则通过将现有的应用或插件重新打包来注入恶意程序,其中包括一些像 iFile、iCleanPro 等插件。
从泄露的数据来看,有超过 67%的被盗账户均来自刀八木。
偷取用户数据
KeyRaider 会收集 3 种用户数据,并通过 HTTP 上传到 C2 服务器,安全人员确定了两个不同的 C2 服务器。
• top100.gotoip4.com
• www.wushidou.cn
在分析期间,这些域名都和 113.10.174.167 这个 IP 有关,在服务器的“top 100”数据库中有 3 个数据表,分别是:“aid”、“cert”和“other”。KeyRaider 使用了 4 个 PHP 脚本来在服务器上访问数据库,分别是:aid.php、cert.php、other.php和data.php。
经发现,“aid”数据表存储了 225941 个被盗的 Apple ID 用户名、密码和设备的 GUID 组合。“cert”数据表存储了 5841 个受感染设备证书和隐私钥匙的词条。最后,“other”数据表存储了超过 3000 个设备 GUID 和来自 App Store 服务器的购买收据词条。
从被盗的 Apple ID 中对邮件地址进行分类,有超过一半的邮件服务是由腾讯(@qq.com)提供。
除了国内的用户之外,从数据中还发现了其它国家和地区的域名,包括:
• tw: Taiwan
• fr: France
• ru: Russia
• jp: Japan
• uk: United Kingdom
• ca: Canada
• de: Germany
• au: Australia
• us: United States
• cz: Czech Republic
• il: Israel
• it: Italy
• nl: Netherlands
• es: Spain
• vn: Vietnam
• pl: Poland
• sg: Singapore
• kr: South Korea
恶意行为
KeyRaider 恶意代码存在于用作 MobileSubstrate 框架插件的 Mach-O 动态库,通过 MobileSubstrate 的 API,恶意软件注入了系统进程或者其它 iOS 应用中的任意 API。
KeyRaider 使用了之前一些恶意软件中的技术并加强,其恶意行为主要包括以下几个方面:
盗取苹果账户(用户名和密码)和设备 GUID
盗取苹果推送通知服务的证书和私人钥匙
阻止受感染设备通过密码或 iCloud 服务进行解锁
免费应用
一些 KeyRaider 恶意程序样本通过执行代码来下载购买收据和 C2 服务器的苹果账号。然而,只有越狱插件 iappstore 和 iappinbuy 才会被真正使用。
手机勒索
除了偷取苹果账号来购买应用之外,KeyRaider 还可以通过内置功能对 iOS 设备进行勒索。
以往的一些 iPhone 勒索往往是通过 iCloud 服务远程控制 iOS 设备。在一些情况下可通过重置账户密码来重新获得对 iCloud 的控制。但 KeyRaider 不同,它可以本地禁用任何类型的解锁操作,无论你是否输入正确的密码。此外它同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户,让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性,之前可用的一些应对办法也不再适用。
其它风险
一些开发者可能会为自己的应用买单,从而让自己的应用能够在 App Store 中获得更好的位置。使用盗取的数据,不法分子可以在 iOS 设备上安装应用来增加下载量,也就是俗称的“刷榜”。
现金回流
不法分子可以使用偷来的账户从 App Store 购买付费应用,这些支出是由“受害人”承担的,但钱将会支付给苹果并有部分返还给开发者,某些开发者就可以和不法分子分享收入,当然并不是所有的开发者都会立心不良。
垃圾邮件
有效的苹果账户用户名可以被单独出售,用于垃圾邮件的投放,相信这个大家都已经非常熟悉了。
勒索
拥有苹果的账户和密码,就意味着不法分子可以通过 iCloud 服务来获得你 iOS 设备中的其它信息。
设备解锁
这些被盗的账户还可能流入另一个市场,苹果的安全机制要求你在抹除和二次销售设备的时候要验证 Apple ID。
其它未来的威胁
结合 iCloud 的个人数据,被盗的账户可能还会被用来进行社交工程(一个有经验的黑客能会通过收买或欺骗获得机密数据,这种常见的攻击方式被称为社会工程)、欺诈和有目标性的攻击。
附:Apple ID是否泄漏查询地址:http://www.weiptech.org/
麻烦各位尽快查询是否中招,修改 iCloud 密码,开启两步验证,其他与泄漏密码一样的各种账号也请修改。