iCloud被大規(guī)模盜號(hào)再引擔(dān)憂，事情的始末又是怎樣的呢?近日，由威鋒技術(shù)組發(fā)現(xiàn)疑似 iOS 插件導(dǎo)致 22 萬(wàn)個(gè) iCloud 泄露的消息讓越獄安全再次被熱論，安全員 Claud Xiao 對(duì)此次 iCloud 賬號(hào)泄露事件以及盜號(hào)插件進(jìn)行了更詳細(xì)的分析，下面就讓我們了解一下事情的來龍去脈。

事件簡(jiǎn)述

安全人員通過和威鋒技術(shù)組的合作，共有 92 個(gè)新的iOS惡意軟件樣本被發(fā)現(xiàn)。在對(duì)始作俑者的最終目的進(jìn)行分析后，他們將這些惡意軟件命名為“KeyRaider”，這也是導(dǎo)致 iCloud 賬號(hào)被大規(guī)模被盜的主因。

KeyRaider 瞄準(zhǔn)的是越獄的 iOS 設(shè)備，這些惡意軟件來源國(guó)內(nèi)，不過似乎受影響的并不僅僅是中國(guó)的用戶，目前這些軟件已經(jīng)被傳播到多達(dá) 18 個(gè)國(guó)家，包括中國(guó)、法國(guó)、俄羅斯、日本、英國(guó)、美國(guó)、加拿大、德國(guó)、澳大利亞、以色列、意大利、西班牙、新加坡和韓國(guó)等地。

該惡意軟件通過 Mobile Substrate 來注入系統(tǒng)，并通過攔截 iTunes 流量從而竊取蘋果賬號(hào)、密碼和設(shè)備的 GUID。KeyRaider 偷取蘋果推送通知的服務(wù)證書和私人鑰匙，偷取并分享 App Store 的購(gòu)買信息，并且禁用 iPhone 和 iPad 的本地和遠(yuǎn)程解鎖功能。

KeyRaider 成功偷取了超過 225000 個(gè)有效的蘋果賬戶和成千上萬(wàn)的證書、私人鑰匙和購(gòu)買收據(jù)。惡意軟件還將偷取來的數(shù)據(jù)上傳到 C2（指令和控制）服務(wù)器，該服務(wù)器本來就包含了眾多的漏洞，用戶的信息也因此遭到泄露。

本次攻擊的對(duì)象是安裝了兩個(gè)特定插件的越獄用戶，這兩個(gè)插件可以讓用戶免費(fèi)從 App Store 下載應(yīng)用，或者是免費(fèi)購(gòu)買應(yīng)用內(nèi)購(gòu)內(nèi)容。

這兩個(gè)插件會(huì)劫持應(yīng)用購(gòu)買的請(qǐng)求，下載被盜的賬戶或者 C2 服務(wù)器購(gòu)買收據(jù)，然后模仿 iTunes 協(xié)議來登入蘋果的服務(wù)器，并購(gòu)買應(yīng)用或者是用戶要求的其它項(xiàng)目。這些越獄插件已經(jīng)被下載超過 2 萬(wàn)次，這意味著大約有 2 萬(wàn)用戶在濫用 225000 個(gè)被盜的證書。

一些“受害者”表示他們的蘋果賬戶顯示了不正常的應(yīng)用購(gòu)買歷史，而一些用戶的手機(jī)更是被鎖且被勒索錢財(cái)。

發(fā)現(xiàn) KeyRaider

這個(gè)惡意軟件最初被威鋒技術(shù)組的成員 i_82 發(fā)現(xiàn)，在今年的 7 月，因?yàn)槭盏搅瞬簧儆脩糁赋龅奈唇?jīng)授權(quán)的 iOS 應(yīng)用在自己的設(shè)備異常出現(xiàn)后，威鋒技術(shù)組的成員便開始了調(diào)查工作。通過查看報(bào)告問題用戶的越獄插件，他們發(fā)現(xiàn)了一個(gè)插件會(huì)收集用戶的信息，并上傳到一個(gè)意料不到的網(wǎng)站中，隨后他們更是發(fā)現(xiàn)該網(wǎng)站有一個(gè) SQL 注入漏洞，該漏洞可以訪問“top100”數(shù)據(jù)庫(kù)的所有記錄。

在這個(gè)數(shù)據(jù)庫(kù)中，威鋒技術(shù)組發(fā)現(xiàn)了一個(gè)名為“aid”的數(shù)據(jù)表包含了總共 225941 個(gè)詞條，大約有 20000 個(gè)詞條包含了用戶名、密碼和 GUID。

通過逆向查找越獄插件，威鋒技術(shù)組發(fā)現(xiàn)了一個(gè)使用 AES 密匙加密的代碼（mischa07），加密后的用戶名和密碼可以成功地使用這種靜態(tài)密鑰解密。隨后威鋒技術(shù)組證實(shí)列出的都是蘋果賬戶用戶名和經(jīng)過驗(yàn)證的證書。

8 月 25 日下午，威鋒技術(shù)組將漏洞細(xì)節(jié)提交烏云漏洞報(bào)告平臺(tái)，并且也提交至第三方合作機(jī)構(gòu)（CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）處理。

8 月 26 日下午，威鋒技術(shù)組成員在其微博上公布，泄露的 22萬(wàn)賬號(hào)只扒下12萬(wàn)時(shí)后臺(tái)數(shù)據(jù)就被清除了。

KeyRaider的傳播

KeyRaider 是通過威鋒源傳播到 iOS 設(shè)備的，和 BigBoss 源和 ModMyi 源不同，威鋒源還為注冊(cè)的用戶提供私有源功能，用戶可以直接上傳自己的應(yīng)用和插件。

一位名為“mischa07”的威鋒用戶上傳了至少 15 個(gè) KeyRaider 的樣本到他的個(gè)人源中，因?yàn)樗挠脩裘挥簿幋a到惡意軟件中作為加密和解密鑰匙，所以威鋒技術(shù)組懷疑 mischa07 就是本次事件的始作俑者。

根據(jù)威鋒的網(wǎng)頁(yè)顯示，mischa07 上傳的插件被下載的次數(shù)很多均超過1萬(wàn)次，他上傳的插件大多提供游戲作弊、系統(tǒng)更改和去應(yīng)用廣告等功能。

mischa07 還上傳了兩個(gè)“有趣”的插件到其個(gè)人源。

iappstore：可以在 App Store 下載付費(fèi)應(yīng)用而無(wú)需付款

iappinbuy：可用在 App Store 內(nèi)下載應(yīng)用的內(nèi)購(gòu)項(xiàng)目，完全免費(fèi)

另一個(gè)對(duì) KeyRaider 有所“貢獻(xiàn)”的是另一個(gè)威鋒用戶刀八木，他的個(gè)人源在論壇里也同樣非常受歡迎，不過在這次事件發(fā)生后，刀八木刪除了所有之前上傳的惡意軟件，后來他在論壇極力否認(rèn)這件事。不過在威鋒的幫助下，安全人員發(fā)現(xiàn)找到了他曾經(jīng)上傳過的應(yīng)用和插件，并發(fā)現(xiàn)至少有 77 個(gè)安裝了 KeyRaider 的惡意程序。mischa07 似乎是制造惡意程序并開發(fā)成不同的版本的人，而刀八木則通過將現(xiàn)有的應(yīng)用或插件重新打包來注入惡意程序，其中包括一些像 iFile、iCleanPro 等插件。

從泄露的數(shù)據(jù)來看，有超過 67%的被盜賬戶均來自刀八木。

偷取用戶數(shù)據(jù)

KeyRaider 會(huì)收集 3 種用戶數(shù)據(jù)，并通過 HTTP 上傳到 C2 服務(wù)器，安全人員確定了兩個(gè)不同的 C2 服務(wù)器。

　top100.gotoip4.com

　www.wushidou.cn

在分析期間，這些域名都和 113.10.174.167 這個(gè) IP 有關(guān)，在服務(wù)器的“top 100”數(shù)據(jù)庫(kù)中有 3 個(gè)數(shù)據(jù)表，分別是：“aid”、“cert”和“other”。KeyRaider 使用了 4 個(gè) PHP 腳本來在服務(wù)器上訪問數(shù)據(jù)庫(kù)，分別是：aid.php、cert.php、other.php和data.php。

經(jīng)發(fā)現(xiàn)，“aid”數(shù)據(jù)表存儲(chǔ)了 225941 個(gè)被盜的 Apple ID 用戶名、密碼和設(shè)備的 GUID 組合。“cert”數(shù)據(jù)表存儲(chǔ)了 5841 個(gè)受感染設(shè)備證書和隱私鑰匙的詞條。最后，“other”數(shù)據(jù)表存儲(chǔ)了超過 3000 個(gè)設(shè)備 GUID 和來自 App Store 服務(wù)器的購(gòu)買收據(jù)詞條。

從被盜的 Apple ID 中對(duì)郵件地址進(jìn)行分類，有超過一半的郵件服務(wù)是由騰訊（@qq.com）提供。

除了國(guó)內(nèi)的用戶之外，從數(shù)據(jù)中還發(fā)現(xiàn)了其它國(guó)家和地區(qū)的域名，包括：

tw: Taiwan

fr: France

ru: Russia

jp: Japan

uk: United Kingdom

ca: Canada

de: Germany

au: Australia

us: United States

cz: Czech Republic

il: Israel

it: Italy

nl: Netherlands

es: Spain

vn: Vietnam

pl: Poland

sg: Singapore

kr: South Korea

惡意行為

KeyRaider 惡意代碼存在于用作 MobileSubstrate 框架插件的 Mach-O 動(dòng)態(tài)庫(kù)，通過 MobileSubstrate 的 API，惡意軟件注入了系統(tǒng)進(jìn)程或者其它 iOS 應(yīng)用中的任意 API。

KeyRaider 使用了之前一些惡意軟件中的技術(shù)并加強(qiáng)，其惡意行為主要包括以下幾個(gè)方面：

　　盜取蘋果賬戶（用戶名和密碼）和設(shè)備 GUID

盜取蘋果推送通知服務(wù)的證書和私人鑰匙

阻止受感染設(shè)備通過密碼或 iCloud 服務(wù)進(jìn)行解鎖

免費(fèi)應(yīng)用

一些 KeyRaider 惡意程序樣本通過執(zhí)行代碼來下載購(gòu)買收據(jù)和 C2 服務(wù)器的蘋果賬號(hào)。然而，只有越獄插件 iappstore 和 iappinbuy 才會(huì)被真正使用。

手機(jī)勒索

除了偷取蘋果賬號(hào)來購(gòu)買應(yīng)用之外，KeyRaider 還可以通過內(nèi)置功能對(duì) iOS 設(shè)備進(jìn)行勒索。

以往的一些 iPhone 勒索往往是通過 iCloud 服務(wù)遠(yuǎn)程控制 iOS 設(shè)備。在一些情況下可通過重置賬戶密碼來重新獲得對(duì) iCloud 的控制。但 KeyRaider 不同，它可以本地禁用任何類型的解鎖操作，無(wú)論你是否輸入正確的密碼。此外它同樣可以通過偷取的證書和私人鑰匙向你的設(shè)備發(fā)送信息來勒索用戶，讓你付款然后可能會(huì)幫你解鎖。因?yàn)檫@個(gè)惡意軟件的特殊性，之前可用的一些應(yīng)對(duì)辦法也不再適用。

其它風(fēng)險(xiǎn)

一些開發(fā)者可能會(huì)為自己的應(yīng)用買單，從而讓自己的應(yīng)用能夠在 App Store 中獲得更好的位置。使用盜取的數(shù)據(jù)，不法分子可以在 iOS 設(shè)備上安裝應(yīng)用來增加下載量，也就是俗稱的“刷榜”。

現(xiàn)金回流

不法分子可以使用偷來的賬戶從 App Store 購(gòu)買付費(fèi)應(yīng)用，這些支出是由“受害人”承擔(dān)的，但錢將會(huì)支付給蘋果并有部分返還給開發(fā)者，某些開發(fā)者就可以和不法分子分享收入，當(dāng)然并不是所有的開發(fā)者都會(huì)立心不良。

垃圾郵件

有效的蘋果賬戶用戶名可以被單獨(dú)出售，用于垃圾郵件的投放，相信這個(gè)大家都已經(jīng)非常熟悉了。

勒索

擁有蘋果的賬戶和密碼，就意味著不法分子可以通過 iCloud 服務(wù)來獲得你 iOS 設(shè)備中的其它信息。

設(shè)備解鎖

這些被盜的賬戶還可能流入另一個(gè)市場(chǎng)，蘋果的安全機(jī)制要求你在抹除和二次銷售設(shè)備的時(shí)候要驗(yàn)證 Apple ID。

其它未來的威脅

結(jié)合 iCloud 的個(gè)人數(shù)據(jù)，被盜的賬戶可能還會(huì)被用來進(jìn)行社交工程（一個(gè)有經(jīng)驗(yàn)的黑客能會(huì)通過收買或欺騙獲得機(jī)密數(shù)據(jù)，這種常見的攻擊方式被稱為社會(huì)工程）、欺詐和有目標(biāo)性的攻擊。