后使用快捷导航没有帐号？
只需一步，快速开始
查看: 919|回复: 0
最后登录阅读权限150注册时间积分3549精华0帖子威望0 PP豆5948 活跃度6180
TA的每日心情奋斗 10:33签到天数: 10 天连续签到: 1 天[LV.3]偶尔看看II帖子威望0 PP豆5948 活跃度6180
你好，不能了，现在只能升级到iOS9.3.2
论坛雷锋好模范
论坛回帖之王
产品客服专属勋章
热心分享资源超过500个的会员
发表1000篇以上文章会员
连续签到30天，时效180天
Powered by
Copyright&
Aihe Internet Technology Co.,Ltd. All Rights Reserved.广州爱禾网络技术有限公司 版权所有&&当前位置： &
22万iCloud账号被盗事件始末：真凶及危害详解
编辑：Amao
来源：网络
　　近日，由威锋技术组发现导致22万个iCloud泄露的消息让安全再次被热论，安全员Claud Xiao对此次iCloud账号泄露事件以及盗号插件进行了更详细的分析，下面就让我们了解一下事情的来龙去脉。　　事件简述　　安全人员通过和威锋技术组的合作，共有 92 个新的iOS恶意软件样本被发现。在对始作俑者的最终目的进行分析后，他们将这些恶意软件命名为“KeyRaider”，这也是导致 iCloud 账号被大规模被盗的主因。　　KeyRaider 瞄准的是越狱的 iOS 设备，这些恶意软件来国内，不过似乎受影响的并不仅仅是中国的用户，目前这些软件已经被传播到多达 18 个国家，包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等地。　　该恶意软件通过 Mobile Substrate 来注入系统，并通过拦截 iTunes 流量从而窃取苹果账号、密码和设备的 GUID。KeyRaider 偷取苹果推送通知的服务证书和私人钥匙，偷取并分享 App Store 的购买信息，并且禁用
的本地和远程解锁功能。　　KeyRaider 成功偷取了超过 225000 个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意软件还将偷取来的数据上传到 C2（指令和控制）服务器，该服务器本来就包含了众多的漏洞，用户的信息也因此遭到泄露。　　本次攻击的对象是安装了两个特定插件的越狱用户，这两个插件可以让用户免费从 App Store 下载，或者是免费购买应用内购内容。　　这两个插件会劫持应用购买的请求，下载被盗的账户或者 C2 服务器购买收据，然后模仿 iTunes 协议来登入苹果的服务器，并购买应用或者是用户要求的其它项目。这些越狱插件已经被下载超过 2 万次，这意味着大约有 2 万用户在滥用 225000 个被盗的证书。　　一些“受害者”表示他们的苹果账户显示了不正常的应用购买历史，而一些用户的更是被锁且被勒索钱财。　　发现 KeyRaider　　这个恶意软件最初被威锋技术组的成员 i_82 发现，在今年的 7 月，因为收到了不少用户指出的未经授权的 iOS 应用在自己的设备异常出现后，威锋技术组的成员便开始了调查工作。通过查看报告问题用户的越狱插件，他们发现了一个插件会收集用户的信息，并上传到一个意料不到的网站中，随后他们更是发现该网站有一个 SQL 注入漏洞，该漏洞可以访问“top100”数据库的所有记录。　　在这个数据库中，威锋技术组发现了一个名为“aid”的数据表包含了总共 225941 个词条，大约有 20000 个词条包含了用户名、密码和 GUID。　　通过逆向查找越狱插件，威锋技术组发现了一个使用 AES 密匙加密的代码（mischa07），加密后的用户名和密码可以成功地使用这种静态密钥解密。随后威锋技术组证实列出的都是苹果账户用户名和经过验证的证书。　　8 月 25 日下午，威锋技术组将漏洞细节提交乌云漏洞报告平台，并且也提交至第三方合作机构（CNCERT国家互联网应急中心）处理。　　8 月 26 日下午，威锋技术组成员在其上公布，泄露的 22万账号只扒下12万时后台数据就被清除了。　　KeyRaider的传播　　KeyRaider 是通过威锋源传播到 iOS 设备的，和 BigBoss 源和 ModMyi 源不同，威锋源还为注册的用户提供私有源功能，用户可以直接上传自己的应用和插件。　　一位名为“mischa07”的威锋用户上传了至少 15 个 KeyRaider 的样本到他的个人源中，因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙，所以威锋技术组怀疑 mischa07 就是本次事件的始作俑者。　　根据威锋的网页显示，mischa07 上传的插件被下载的次数很多均超过1万次，他上传的插件大多提供游戏作弊、系统更改和去应用广告等功能。　　mischa07 还上传了两个“有趣”的插件到其个人源。　　iappstore：可以在 App Store 下载付费应用而无需付款　　iappinbuy：可用在 App Store 内下载应用的内购项目，完全免费　　另一个对 KeyRaider 有所“贡献”的是另一个威锋用户刀八木，他的个人源在论坛里也同样非常受欢迎，不过在这次事件发生后，刀八木删除了所有之前上传的恶意软件，后来他在论坛极力否认这件事。不过在威锋的帮助下，安全人员发现找到了他曾经上传过的应用和插件，并发现至少有 77 个安装了 KeyRaider 的恶意程序。mischa07 似乎是制造恶意程序并开发成不同的版本的人，而刀八木则通过将现有的应用或插件重新打包来注入恶意程序，其中包括一些像 iFile、iCleanPro 等插件。　　从泄露的数据来看，有超过 67%的被盗账户均来自刀八木。　　偷取用户数据&　　KeyRaider 会收集 3 种用户数据，并通过 HTTP 上传到 C2 服务器，安全人员确定了两个不同的 C2 服务器。　　在分析期间，这些域名都和 113.10.174.167 这个 IP 有关，在服务器的“top 100”数据库中有 3 个数据表，分别是：“aid”、“cert”和“other”。KeyRaider 使用了 4 个 PHP 脚本来在服务器上访问数据库，分别是：aid.php、cert.php、other.php和data.php。　　经发现，“aid”数据表存储了 225941 个被盗的 Apple ID 用户名、密码和设备的 GUID 组合。“cert”数据表存储了 5841 个受感染设备证书和隐私钥匙的词条。最后，“other”数据表存储了超过 3000 个设备 GUID 和来自 App Store 服务器的购买收据词条。　　从被盗的 Apple ID 中对邮件地址进行分类，有超过一半的邮件服务是由腾讯（@qq.com）提供。　　除了国内的用户之外，从数据中还发现了其它国家和地区的域名，包括：tw: Taiwanfr: Franceru: Russiajp: Japanuk: United Kingdomca: Canadade: Germanyau: Australiaus: United Statescz: Czech Republicil: Israelit: Italynl: Netherlandses: Spainvn: Vietnampl: Polandsg: Singaporekr: South Korea　　恶意行为　　KeyRaider 恶意代码存在于用作 MobileSubstrate 框架插件的 Mach-O 动态库，通过 MobileSubstrate 的 API，恶意软件注入了系统进程或者其它 iOS 应用中的任意 API。　　KeyRaider 使用了之前一些恶意软件中的技术并加强，其恶意行为主要包括以下几个方面：　　盗取苹果账户（用户名和密码）和设备 GUID & &&　　盗取苹果推送通知服务的证书和私人钥匙　　阻止受感染设备通过密码或 iCloud 服务进行解锁　　免费应用　　一些 KeyRaider 恶意程序样本通过执行代码来下载购买收据和 C2 服务器的苹果账号。然而，只有越狱插件 iappstore 和 iappinbuy 才会被真正使用。　　手机勒索　　除了偷取苹果账号来购买应用之外，KeyRaider 还可以通过内置功能对 iOS 设备进行勒索。　　以往的一些 iPhone 勒索往往是通过 iCloud 服务远程控制 iOS 设备。在一些情况下可通过重置账户密码来重新获得对 iCloud 的控制。但 KeyRaider 不同，它可以本地禁用任何类型的解锁操作，无论你是否输入正确的密码。此外它同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户，让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性，之前可用的一些应对办法也不再适用。　　其它风险　　一些开发者可能会为自己的应用买单，从而让自己的应用能够在 App Store 中获得更好的位置。使用盗取的数据，不法分子可以在 iOS 设备上安装应用来增加下载量，也就是俗称的“刷榜”。　　现金回流　　不法分子可以使用偷来的账户从 App Store 购买付费应用，这些支出是由“受害人”承担的，但钱将会支付给苹果并有部分返还给开发者，某些开发者就可以和不法分子分享收入，当然并不是所有的开发者都会立心不良。　　垃圾邮件　　有效的苹果账户用户名可以被单独出售，用于垃圾邮件的投放，相信这个大家都已经非常熟悉了。　　勒索　　拥有苹果的账户和密码，就意味着不法分子可以通过 iCloud 服务来获得你 iOS 设备中的其它信息。　　设备解锁　　这些被盗的账户还可能流入另一个市场，苹果的安全机制要求你在抹除和二次销售设备的时候要验证 Apple ID。　　其它未来的威胁　　结合 iCloud 的个人数据，被盗的账户可能还会被用来进行社交工程（一个有经验的黑客能会通过收买或欺骗获得机密数据，这种常见的攻击方式被称为社会工程）、欺诈和有目标性的攻击。　　要查询自己的 iCloud 账户是否“中招”，可进入查询页面。
【上一篇】
【下一篇】
推荐阅读：
看完这篇文章有何感觉？
苹果应用推荐
PP助手准备为您下载应用
未越狱版：鳄鱼小顽皮爱洗澡
如果在10秒后下载任务还没有开始，请下载并安装：
下载步骤如下：这周手游圈大事不少，最严手游新规已经让众人惊觉行业起变，《Pokemon Go》又带来 AR ...
2010 年，乔布斯带领下的苹果，发布了一款引领智能手机行业的新手机 iPhone 4，其中最...
利用漏洞破坏正常游戏环境 这锅到底由谁来背？玩家？还是厂商？
苹果主要合作组装厂商富士康已于近日进入 iPhone 7 量产期，另一家厂商和硕则在上个月...
软件+硬件，也许才能真正展现出苹果的真正实力。
苹果一家公司“拖累”了整个标准普尔 500 强企业团体。
这张广告宣传图并非出自三星之手，而是一向勤快的保护壳公司。
无论今年的 iPhone 7 能不能让人想要买买买，有一点是苹果不得不小心注意的。
此前威锋网游戏频道曾经报道过，索尼影业已经拍摄完成的女版《捉鬼敢死队》电影将与动...
游戏的背景设计在一个被僵尸们所包围的世界上，这里遍地都是僵尸。
整个游戏也采用了十分清新的卡通风格的画面设计，游戏中没有昼夜变化和天气系统，永远...
这款作品比之《锁链战记》有着更为深厚的世界观和更加庞大的故事脚本，叙事风格近似经...
一直以来，大自然都在遵循着它自己的规则，哪怕是人类也没有能力去改变这个规则，总结...
提及经典游戏《炸弹人》，相信屏幕前的各位玩家一定不会感到陌生，而今天小编想要为各...
在移动平台中已经了有了比较多的策略战争游戏，不过大体上还是以近现代的战争为主，而...
不管是想依靠VR翻身的HTC，还是想利用VR来扩大游戏主机的占有率的索尼PlayStation VR...
尤其是在一些敏感地区，说不定你刚把iPhone拿出来就被击毙了。
买个麦克风一起录歌吧！
牵一发而动全身，取消3.5mm耳机插孔甚至会左右我们的手机使用习惯？
这款堪比 iPhone 4 的划时代产品，究竟怎么样。不妨由毫无航拍飞行经验的笔者来进行体...
这款 Razor Platinum 移动电源是 Mycharge 公司开发的首款支持 USB-C 数据线的产品。
有道云笔记是是网易旗下有道搜索推出的笔记类应用，通过云存储技术帮助用户建立一个可...
不知道在秋季发布会正式开始的时候，iPhone 7还能剩下多少秘密。
关于后盖上印的字
注册时间 最后登录
在线时间141 小时 UID
主题帖子人气
青苹果, 积分 195, 距离下一级还需 5 积分
一台美版和一台行货拿在一起玩& &结果发现后面刻的字不一样呢行货后面还多了个10年啥的
是我火星了吗。。。还是我买到换壳的了。。。
注册时间 最后登录
在线时间760 小时 UID
主题帖子人气
会玩，眼睛找瞎了都没看见10回楼主雀雀雀雀巢咖啡于19 秒前发表的: ......
注册时间 最后登录
在线时间141 小时 UID
主题帖子人气
就是这个。。
(165.48 KB, 下载次数: 13)
21:57 上传
注册时间 最后登录
在线时间295 小时 UID
主题帖子人气
记得确实是有不一样的！
注册时间 最后登录
在线时间1256 小时 UID
主题帖子人气
每個國家要求通過的測試都不同，所以有相差！回楼主雀雀雀雀巢咖啡于4 分钟前发表的: ......
注册时间 最后登录
在线时间760 小时 UID
主题帖子人气
额，找到了，那个圆圈的我有，我国行回2楼雀雀雀雀巢咖啡于7 分钟前发表的: 就是这个。。&&......
注册时间 最后登录
在线时间141 小时 UID
主题帖子人气
那个不是在工厂里就刻好的吗？在工厂里检测就用的不同的标准么。。。。回4楼kentson于2 分钟前发表的: 每個國家要求通過的測試都不同，所以有相差！......
注册时间 最后登录
在线时间141 小时 UID
主题帖子人气
一个10一个圈回1楼yxd0419于10 分钟前发表的: 会玩，眼睛找瞎了都没看见10......
注册时间 最后登录
在线时间1178 小时 UID
主题帖子人气
港版的下面东西更多。
注册时间 最后登录
在线时间471 小时 UID
主题帖子人气
唯爱Apple…
有什么区别啊
威锋旗下产品
Hi~我是威威！
沪公网安备 29号　|　沪ICP备号-1
新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!扫一扫，上赶集群组
扫码使用“赶集群组”
交友&&寻爱&&找工作
聊天&&聚会&&不寂寞
赶集网为您找到16137条
二手手机信息
& 长岛二手诺基亚
(￥)(￥)(￥)(￥900-1499)(￥600-999)(￥700-1199)(￥500-999)(￥200-599)(￥)(￥500-999)(￥)(￥700-1199)
赶集热门手机参考价格提前了解下行情哦~
天津-向阳路
乌鲁木齐-明园
太原-体育馆
福州-则徐大道
嘉兴-海宁周边
广州- 昌岗
石家庄-滨河
淄博-华光路
锦州-幸福家园
北京-顺义城区
哈尔滨-双城
广州-五山路口
呼和浩特-通道街
哈尔滨-花园
您可能感兴趣的商品
刚买了两个月想换手机就便宜出了。还有10个月在保 还有一个未拆封的原装...
打183--，下面电话不用了，自己机子已经用了有2...
很新的三星s7手机，双卡双待32g全网通港行，香港带过来送给女友的，也...
自己用的。14年买的。国行。支持各种检测。无拆无修无进水。换电话了。闲...
手机没什么毛病，备用机“”
手机一直带套使用，机身轻微划痕，屏幕贴的钢化膜，成色看图。海阳徐家店附...
苹果6plus全新机器，5.5寸，800万像素前置130万，指纹解锁价...
三网通用，支持4G网络，配件齐全 需要可以好好看看
*86*21*3...
在国美实体店买的正品国行iphone5S，在保修期内，64G金色，A1...
个人转让 全新iPhone6 港版16G 土豪金A1586 有发票 支...
自用两个月的三星S7手机（看（图（我）联）系）白色无拆无修全新
机子都是国航
未拆封 在保 闲置新的手机没用到,配件什么都齐全，
新的 因缺钱所以要处理掉 放在家里，朋友送的，机器是新的 ，着急用钱所...
机子很靓 平时使用 很小心无磕碰 指纹功能正常 无任何质量问题
机子是生日朋友送的礼 全套配件齐全 还没有拆封闲置在家，图片都是如实拍...
指纹功能正常 无任何质量问题 机子很靓 平时使用 很小心无磕碰
价格低，成色好，还是8的系统速度快不卡顿（该信息由用户发自手机）
送给男朋友没送成，现在闲置了，未拆没激活，需要可以好好看看*862*1...
送给男朋友没送成，现在闲置了，未拆没激活，需要可以好好看看*862*1...
手机是国行64G的，而且还在保修期内，用到现在差不多半年，没有什么刮痕...
成色九八新，没毛病，还在保四个月！内存16（该信息由用户发自手机）
小米5 标准版32G 白色，入手一个月
有发票，所有东西齐全，机器无划...
4.3AMOLED屏、1.5GRAM+8G、1600万像素COMS、1...
完全没有任何的划痕，还跟新的一样，保养的好。保修还有在，低价忍痛转让了...
狠心转让，成色没的说，很新，需要的抓紧联系（该信息由用户发自手机）
机器是新的 ，着急用钱所以才卖的，配件都在
未拆封 在保 还在保修期...
因本人已换了一台分期的6S新手机，现转让一台自用闲置苹果5s国行64G...
诚心想买一台苹果手机用型号不限版本不限福山面交（该信息由用户发自手机）
转让全新iPhone6 港行金色16G，未拆封，支持双4G，有发票，有...
闲置新的手机没用到,配件什么都齐全，新的没用过
数据线耳机都齐全 票...
4.7寸，大屏幕 4G移动网络，大小适中，手感超好。一部蓝色一部白色！...
最近急缺钱， 还没激活，送女朋友不要的，全新机子 配件什么都齐全，新的...
诚信转6P正品7OO元国航5.5寸16G全网通在保
无任何质量问题，...
配件全，苹果手机，要的赶集叮咚找我聊天，也可以微yyss844苹果金色...
天风三网通用，支持4G网络，配件齐全想要苹果可以加我《307,585,...
三星7016，联通定制双卡双待，配置还可以，网上有参数。机器功能完全正...
手机没毛病，随便验机。使用一个月多，外壳也很新《 “...
手机成色很好，玫瑰金色，国行的！全国联保，64内存的，无磕碰无划痕，一...
国航2013，九成新，自用的，保护很好。一口价，看好了给个路费钱。（该...
全新刚买。本来是想给老人用的，但是用惯了按键的，不喜欢触屏的，没办法总...
韩版906s，成色保守9.0。内存3g运存32g可拓展，单卡联通4g移...
无任何毛病 跟新买的时候一样 机子是朋友送的 全套配件齐全 ，由于现在...
机子是朋友送的 全套配件齐全
无任何毛病 跟新买的时候一样，由于现在...
还没有拆封闲置在家 机子是生日朋友送的礼 全套配件齐全 ，图片都是如实...
配件什么都齐全，新的没用过
手机还没激活，新的 还在保修期内 ，机子...
机器是新的 ，着急用钱所以才卖的，配件都在 可当面自取！非诚心勿扰！！...
三网通用，支持4G网络，配件齐全 需要可以好好看看
*86*21*3...
全新的机子，连包装膜都没拆开，金色A1688，有发票，国内联保，价格可...
手机目前是全新没拆过的，本来是拿来给爸妈用的，爸妈不想用大屏手机，一直...
手机没毛病，随便验机。使用一个月多，外壳也很新《 “...
单位抽奖得到的手机，64G内存的玫瑰金色SE，自己用了一个周，觉得屏幕...
双卡双4g三星s6edge+.成色好。全套包装配件。媳妇一手自己用的。...
手机支持，移动2g联通电信4g，指纹换电池换的不好用，其他都正常，有磕...
苹果手机看电影什么的一点不卡，要的可以赶紧微信我:yyaahx，手机性...
三星W2014+行货，尊贵版，没修过，没拆过，成色非常好，保真！（
天风还在保修期内 最近急用钱 想要苹果可以加我《307,585,925...
三星W2013自用保护很好，看好包路费钱。（该信息由用户发自手机）
自用银色已过保，九成新没有任何暗病。可专柜验机（该信息由用户发自手机）
便宜出售自用iPhone6s plus 128g，一直自己用，行货，1...
自用国行苹果6Splus玫瑰金色64G手机一部，买的原厂手机壳，没任何...
赞助商推广
二手诺基亚手机相关：中国领先的IT技术网站
51CTO旗下网站
iOS恶意软件KeyRaider如何盗取超过22.5万苹果账户
KeyRaider的目标是越狱iOS设备，并通过位于中国的第三方Cydia存储库进行分布。总的来说，这一威胁目前可能影响到来自18个国家的用户，其中包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国。
作者：月尽西楼来源：FreeBuf| 11:47
最近威锋技术组发布微博称发现苹果商店后台存在漏洞，22.5万有效苹果账户密码被盗。他们对外公布了iCloud账号泄露查询工具(地址)，只要输入用户邮箱，就可以查询其iCloud帐号是否被盗。
在与威锋技术组的合作过程中，我们(paloaltonetworks研究人员)选取了92个最新iOS恶意软件家族的样本。通过分析样本我们发现这个叫做&KeyRaider&的终极恶意软件。我们认为这是目前针对苹果账户的影响最为严重的恶意软件。
KeyRaider的目标是越狱iOS设备，并通过位于中国的第三方Cydia存储库进行分布。总的来说，这一威胁目前可能影响到来自18个国家的用户，其中包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国。
恶意软件通过MobileSubstrate钓取系统进程，然后通过拦截设备上iTunes的流量盗取苹果账户用户名、密码以及设备GUID。KeyRaider盗取苹果推送通知服务的证书以及私钥，窃取并分享App Store购物信息，禁用iPhone和iPad上本地和远程的解锁功能。
KeyRaider成功盗取了22.5万有效苹果账户以及成千上万的证书、私钥以及购物凭证。恶意软件将盗取的数据传到智慧与控制(C2)服务器上，而服务器本身就存在漏洞，因此用户信息再度暴露。
攻击原本的目的是为了让使用了两个越狱工具的iOS用户能够在没有实际支付的情况下，使用官方应用商店的收费App。而越狱软件通常能帮助用户实现这一无法在正常情况下完成的行为。
而这两个越狱工具能够从C2服务器上劫持app购买请求、下载用户信息或者购买凭证，然后用户模仿iTunes协议登录Apple的服务器并执行购买app或者其他项目的请求。这两个越狱工具的下载量已超过2万次，也就意味着有至少2万用户正在滥用22.5万的被盗凭证。
一些受害者称他们被盗的苹果账户显示了异常app购买记录，不仅如此，还有人的手机收到了勒索要求。
这里我们将介绍这个恶意软件和攻击的详细情况。
发现KeyRaider
首次发现这个漏洞的是来自扬州大学的一个学生，网名为&i_82&，他同时也是威锋技术组的成员。
事情从头说起：
6月30日，苹果发布iOS 8.4正式版。
7月初，第一次大规模盗刷事件爆发，7月17-20日，第二次大规模盗刷事件爆发。而这些被盗刷的用户包括下载过各类助手软件、越狱过的用户，也包括从未越狱过的用户。
8月25日凌晨，威锋技术组成员发现某红包助手后台漏洞，发现20万个左右有效的iCloud账户与密码。并于当天下午将漏洞提交。
8月26日下午，威锋技术组成员在其微博上公布，泄露的22W账号只扒下12W时后台数据就被清除了，并在随后指出，基本上确认这次的盗号事件和刀八木有脱不开的关系!如果有安装它的插件的(不管什么插件)请全部卸载并更改您的全部的Apple相关的密码!!!
8月27日凌晨，威锋技术组对外公布iCloud帐号泄露查询工具正式对外公开查询，查询地址为：http://www.weiptech.org/ 。包含被扒下来的，被泄露盗取的Apple ID的有效数据量为105275条，其中来源八木的有69485条，来源iwexin的有9223条。而为了保护用户隐私，防止密码二次泄露，该查询工具只会显示被盗密码前后的数据，其他部分均予以隐去。
8月27日上午，苹果官方做出反应。威锋技术组将相关账号提供给苹果安全部门后，苹果对这批账号做了安全措施。如果用户在登录iCloud要求修改密码，则有可能该账户在本次泄露名单中。
8月27日中午，威锋技术组发布微博，&自12:57分开始，威锋技术组提供查询服务器遭受DDOS攻击。目前服务器访问缓慢，正在联系威锋网总部处理。&这意味着，在威锋技术组揪出盗窃账户黑手后，对一部分黑手的既得利益产生影响，从而受到了恶意攻击。
8月27日下午，威锋技术组成员再一次发表微博，提醒所有iCloud用户，改密码是当务之急，开二步验证式无法杜绝利用刷榜的，最重要最重要最重要的是防止被恶意锁机!
研究者通过观察这些用户安装的越狱软件，发现一个越狱软件收集用户信息并上传到一个特殊网站上面。而这个网站有一个简单的SQL注入漏洞，允许攻击者访问&top100&数据库中的全部记录。
图1.威锋技术组在C2服务器中发现的SQL注入漏洞
在这个数据库中，有一个表名为&aid&，包含225941个条目。尽管部分条目有加密，但是其中仍然有大约2万条中包含用户名、密码和GUID明文。
通过逆向越狱软件，研究者发现一段代码使用定向键&mischa07&的AES加密。使用这个静态密码能够成功破解加密的用户名和密码。后来经证实，这些账户都是苹果用户名及凭证。研究者下载了大约一半的数据之后，网站管理员发现这一情况随即关闭了服务器。
然而分析了威锋技术组的报告之后，Palo Alto网络研究人员并没有发现报告中提到的包含窃取密码并将其上传到C2服务器的恶意代码。然而，通过威锋提供的相关信息，我们发现存在其他恶意软件在收集用户被盗的信息并将其上传到同样的恶服务器上面。
KeyRaider分布
KeyRaider只能通过越狱iOS设备的Cydia储备库传播。与其他(例如BigBoss或ModMyi)Cydia源不同的是，威锋源为每个注册用户提供了私人存储库功能，因此他们能够直接自行下载app并且相互分享。
一个名为&mischa07&的威锋网用户，上传了15个KeyRaider样本到他自己的私人存储库中(图2)，由于他的名字也被编码到恶意软件的加密和解密秘钥当中(图3)，因此我们强烈怀疑mischa07便是KeyRaider的原作者。
图2.mischa07的个人Cydia存储库
图3.&mischa07&是恶意软件中的一个硬编码加密秘钥
从威锋网的数据可以看出，mischa07上传的工具已经被下载超过数万次。这些应用和工具为游戏作弊、系统优化以及app去广告服务。
以下是mischa07的两个比较有意思的工具：
&iappstore(图5)：为用户免费下载苹果官方应用商店中的付费软件提供服务。
&Iappinbuy：这个软件可以把那些应用内购买的项目都变成免费的。
Mischa07甚至在论坛发布了这两个工具的帖子进行推广，但是一些用户还是不相信它们所谓的神奇功能。然而，iappinbuy仍然获得了20199次下载量(图4)，而iappstore只有62次(这仅仅是最新版本的数量)。
图4.一个恶意软件样本下载超过3万次
图5.iappstore工具能够直接从App Store安装付费app
图6.作者发帖推广他的iappstore工具
威锋网用户&氵刀八木&或称&bamu&，被认为是KeyRaider恶意软件的另一个传播者。氵刀八木因为其经常提供有用的工具而很受欢迎。攻击被曝光后，氵刀八木删除了几乎所有他上传至存储库的恶意软件，并在论坛对这一指责予以否认。然而，在核查过他上传的所有app或者工具之后，我们发现至少有77人的iOS设备安装了KeyRaider恶意软件。
Mischa07创建了这个恶意软件并且开发了不同版本，而bamu的恶意程序则主要通过恶意软件重新包装(例如iFile、iCleanPro和avfun的)已有应用程序或者工具。
KeyRaider向C2服务器上传劫持的用户密码时，里面会包括一个在HTTP URL中用于追踪感染源的参数，名为&flag&或者&from&。在mischa07的代码中，这些参数的值总是应用程序的名称，例如&letv&。而在bamu的样本中，所有的值永远都是&bamu&。从泄露数据中发现，67%的被盗数据来源于bamu。
由于bamu仅是一个散布者，我们后面的分析会聚焦于直接发布者mischa07的样本。
被盗取的用户数据
KeyRaider收集了三类用户数据并且用HTTP上传到了自己的C2服务器上，我们定位到了两种C2服务器：
&top100.gotoip4[.]com
&www.wushidou[.]cn
在分析过程中，这些域名可解析到IP地址113.10.174.167。在这个服务器上&top100&数据库有三个表：&aid&、&cert&和&other&。KeyRaider在服务器上使用了四个PHP脚本来获取数据库：aid.php、cert.php、other.php以及data.php。
通过分析代码和数据，我们发现&aid&表格存储了225941条泄漏的Apple用户名，密码，设备的GUID(全球唯一标识符)。&cert&表格存储5841个受感染设备的入口和私钥，它们可用于苹果推送消息。最后，&other&表格存储了超过3000设备GUID入口和App Store的购买凭证。
图7.一个被泄露的cert表中条目
我们整理了泄漏Apple用户的email地址发现超过一半用的是QQ邮箱，下面是TOP10的泄漏邮箱的域名(近六成是中国用户)：
然而我们也发现了一些其他地区的email地址：
& tw: Taiwan台湾
& fr: France法国
& ru: Russia俄罗斯
& jp: Japan日本
& uk: United Kingdom英国
& ca: Canada加拿大
& de: Germany德国
& au: Australia澳大利亚
& us: United States美国
& cz: Czech Republic捷克
& il: Israel以色列
& it: Italy意大利
& nl: Netherlands荷兰
& es: Spain西班牙
& vn: Vietnam越南
& pl: Poland波兰
& sg: Singapore新加坡
& kr: South Korea韩国
KeyRaider的恶意代码存在于Mach-O动态库，作为MobileSubstrate框架的插件存在。(iOS系统越狱环境下安装绝大部分插件，必须首先安装MobileSubstrate) 恶意软件通过此框架就可以钩取任意APP甚至系统进程的API。
曾经也有许多的IOS恶意软件利用了MobileSubstrate框架。例如Unflod(又称SSLCreds或Unflod baby panda)被Reddit上的用户发现，SektionEins分析其通过拦截SSL加密线路偷取Apple账户密码。AppBuyer去年被发现应用同样的技术偷取密码并从APP Store购买APP。KeyRaider在此技术上又向前了一步，实现了以下功能：
1、偷取用户账户和设备GUID
2、偷取证书和苹果推送的私钥
3、预防感染设备通过密码或iCloud设备解锁
偷取苹果账户数据
大多数KeyRaider的样本钩取SSL的读写函数都在itunesstored的进程里，itunesstored是系统的守护进程，用iTurnes协议与App Store通信。
图8.KeyRaider钩取itunesstored中的SSL读写函数
当App Store 客户端向用户请求数据登录时，信息是通过SSL加密会话传输给App Store 的服务器，KeyRaider寻找这种登录会话和特定的方式在数据传输过程中发现用户的账户信息，设备GUID(图9)。
图9.寻找SSL数据中的苹果账户信息
接着，在SSL读的替代函数中，这些证书都是用固定密钥&mischa07&AES算法加密后发给KeyRaider的C2服务器(图10)。
图10.上传数据到C2服务器
除此之外，SSL钩取函数利用MGCopyAnswer(&UniqueDeviceID&)读取设备GUID。
偷取用户证书和私钥
一些样本中，KeyDaider 同样钩取了apsd进程(一种IOS用于推送消息的守护进程)钩取了安全框架中定义的SecltemCopyMatching 函数，这个API用于寻找密钥项来匹配查询词条。
安装钩取之后，当查询词条为&APSClientIdentity&时，KeyRaider执行原始安全项目复制匹配，用 SecIdentityCopyCertificate和SecIdentityCopyPrivateKey 从原始函数返回结果复制证书和私钥，这些证书和GUID一起发送到C2服务器。IOS钥匙链中以APSClientIdentity标记的是IOS中用来推送消息的密钥。攻击者可以利用这些证书创建一个假的系统推送：
图11.复制推送服务器的证书以及秘钥
图12.上传证书和秘钥
当KeyRaider钩取SecItemCopyMatching时除了拦截了通知的证书还将查询请求标签和一个非常特殊的标签&com.apple.lockdown.identity.activation&做了对比，如果匹配就把请求置零(图13)。
图13.设置锁定激活结果总为零
此时网络没有任何com.apple.lockdown.identity.activation的公共记录，我们猜测这个查询用于解锁设备。通过置零操作预防用户解锁设备，本地输入密码和云端解锁都不行。
样本分析至此，这段代码独立而且没有被任何代码引用，只在此处使用并以函数输出，但是我们有证据表明利用此函数的攻击已经发生。
共享免费APP
KeyRaider一些样本执行代码用来从C2服务器下载购买凭据和苹果账户，然而只有在 iappstore和iappinbuy 越狱配置中才起作用。
据作者描述，iappstore可以用于免费下载任何应用，让我们来看看怎么实现。
这个应用两次钩取了SSLWrite API ，第一次偷取密码，第二次试图判定当前http请求是否和 &POST /WebObjects/MZBuy.woa/wa/buyProduct&一致，这是用于判定当前会话是否在用iTunes协议购买APP(图14)。
图14.钩取app购买会话
如果请求是在购买，下一次SSLWrite调用，钩取代码匹配数据中关键字&salableAdamId&, &appExtVrsId&, &vid&, &price&, &guid&, &installedSoftwareRating& 和 &pricingParameters& 用以定位当前APP的支付信息，如果APP不是免费的 fire()函数调用。
fire()函数调用readAid()函数，readAid()读取本地文件/var/mobile/Documents/iappstore_aid.log 。此文件包含苹果用户账户信息，设备GUID，iTurnes 会话 token，cookie，电话号码，操作系统信息和iTunes CDN 服务器编号。函数分析数据并创建账户对象。
如果文件不存在，就调用readAidUrl()函数就从C2服务器下载新的账户信息再创建账户对象(图15)，图16表示从服务器下载的账户。
图15.从C2服务器下载苹果账号
图16.被盗取的苹果账户正在从C2服务器下载
创建账户对象后，fire()生成一种账户信息参数表，接着调用login()，sendBuy()。
login()函数用参数表语句和AppStore账户创建一个HTTP连接到下面的url：
& p*-buy./WebObjects/MZFinance.woa/wa/authenticate
这导致当前iTunes会话远程账户登录(图17)。
图17.模拟登录协议
登录请求后，login()分析返回的结果，cookie，token和其他信息并和密码一起保存到本地iappstore_aid.log 以便下次购买。如果登录失败密码错误，再次调用readAidUrl()从C2服务器获取另一个帐号。
sendBuy()函数工作类似login()函数 请求了另一个url用于APP购买认证：
& p*-buy./WebObjects/MZBuy.woa/wa/buyProduct
这么一套程序下来，iappstore tweak 可以用其他人的账户成功购买任何app。
至此，除了这些作用外，两个独立函数versifySF()和versifySF2()在样本中也执行了，KeyRaider也试图获取并使用账户密保问题和答案，这一部分功能在样本中还没有完成。
iappinpay的功能类似于iappstore(图18)，唯一的区别是购买接口改变和利用一些变量，因为C2服务器数据库也存储着之前的APP购买的凭证，看起来作者还计划着重用这些凭证，可能把它们发送到手机到证明之前已经买过了这个APP。
图18.In-App-Purchase 认证请求
劫持手机勒索赎金
除了偷账户买app之外，KeyRaider还有劫持ios手机勒索的功能。
一些之前的iPhone勒索攻击基于iCloud服务远程控制手机技术。其中有一些重置密码就可以重新控制iCloud。KeyRaider不一样，它本身禁止任何的解锁操作，包括输密码和iCloud重置。利用私钥和证书可以直接发提示信息要求赎金，不用经过苹果的推送服务。因为这种设计，以前的解决办法都无效了。
我们知道KeyRaider已经能劫持勒索了，作为一个受害者你只能苦逼的看到以下画面 解锁加QQ 和电话(图19)。
图19.被锁iPhone收到的勒索信息
其他的潜在危险
早在四月的Palo Alto Networks Ignite 大会上，我们介绍了地下市场和IOS攻击的供应链，KeyRaider在此链条中扮演了一个非常重要的角色。
以一个受害者的苹果账户密码，攻击者可以发起任何附加的攻击。例如，通过iCloud控制设备，窃取私人信息包括短信记录，照片，邮件，文件和地理位置。2014年好莱坞艳照门事件，引起公众的广泛重视苹果账户认证的潜在威胁。
另外，还有好多方法利用这些被盗账户：
一些开发者会付钱给自己的APP提升商店中的排名，装机量是提升排名的重要因素。利用窃取的数据，攻击者很容易安装升级APP以提升排名。事实上，许多KeyRaider的受害者声称他们的苹果账户有异常的下载历史使它们发现了这样的攻击。
攻击者用窃取的帐号从APPStore购买付费的APP。费用由受害者出，但是收益会流到苹果公司并给开发者一部分。开发者和攻击者串通分脏，像APPBuyer那样运作是完全可能的事情。
合法的苹果账户可以单独卖给垃圾邮件发送方。以前SMS垃圾邮件发送需要花钱而且容易被查水表。然而，基于iMessage的发送仅需要网络和接受者的ID。这种方法在近几年非常流行。
手握受害者的账户信息，它们的设备和iCloud中的文件对攻击者来说都会产生许多附加收益。
这些窃取的账户仍然可以在其他的市场上售卖。苹果有一个安全机制预防设备丢失或者设备被擦除重新售卖，需要你在擦除之前认证苹果帐户。如今这有一个个人市场定位设备的账户信息。
未来的攻击方向
结合iCloud的个人信息，窃取的账户仍可用于社会工程，欺骗和定点攻击。
预防和防护
一定要记住KeyRaider只运行在越狱的IOS设备上，没有越狱的IOS设备不受此类攻击的影响。
Palo Alto网络8月26日提供了被盗账户的信息。威锋技术组在攻击者修复漏洞之前只能修复大约一半的账户。从不信任的Cydia资源安装的APP或优化工具仍然受影响。
Palo Alto网络已经发布了DNS签名覆盖了KeyRaider的C2服务线路防止恶意软件。
用户有以下措施判断设备是否被感染：
1、通过Cydia安装openssh 服务
2、SSH连接设备
3、打开/Library/MobileSubstrate/DynamicLibraries/ 检索以下字符串：
& wushidou
& getHanzi
如果任何dylib文件包含其中任何一个字符串，我们建议删除它并删除同名的参数表文件，然后重启设备。
还建议所有受影响的用户删除恶意软件后修改苹果账户的密码，开启苹果账户的二次认证。查看详细点击这里。
首先建议不想遭受此类攻击的用户，可以避免的话万万不要给自己的iphone或ipad越狱。此时，Cydia的程序库对上传的软件没有任何严格的检查措施，用Cydia的程序需要自己承担风险。
一些KeyRaider的样本SHA-1值陈列如下：
9ae5549fddae7a7e983d4fcb2b797f CertPlugin.dylib
bb56acf8be4380dcf7f5acfbdf80d MPPlugin.dylib
5c7c83abd96cd1f353e24dec3ba66 iappinbuy.dylib
ff4398316cce593af11bd45c55c9b91 iappstore.dylib
017b0cdca2f18b2e83d 9catbbs.GamePlugin_6.1-9.deb
4a154eabd5a5bd6ad0203eea6ed68b31ecatbbs.MPPlugin_1.3.deb
ef1cfcacb1b5catbbs.iappinbuy_1.0.deb
af5d7ffe0dc189f22e11a33c7a407 9catbbs.iappstore_4.0.deb
a05b9af5f4ccce321cd4b0435f89fba8 9catbbs.ibackground_3.2.deb
1cba9fe852b05cce1d repo.sunbelife.batterylife_1.4.1.deb
附上一枚KeyRaider，解压密码KeyRaider
特别鸣谢扬州大学的i_82童鞋和威锋科技组与我们分享信息、报道以及各种有用的信息;
感谢威锋科技的CDSQ和感谢Weiphone提供样本;
感谢乌云社区Xsser和Fenggou信息分享;
感谢Palo Alto 网络的Sereyvathana Ty、Zhaoyan Xu 和 Rongbo Shao 察觉了威胁;
感谢Palo Alto网络Ryan Olson的审校工作。
*PaloAlto报告作者：ClaudXiao，主体内容取材于该报告。
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题专题专题专题专题
24H热文一周话题本月最赞
讲师：50人学习过
讲师：85人学习过
讲师：852人学习过
精选博文论坛热帖下载排行
《网管员必读―服务器与数据存储》全面、系统地介绍了在中、高级网络管理和网络工程实施中两个重要方面的主流技术和应用：硬件服务器和数据...
订阅51CTO邮刊