Author:360NirvanTeam

原文引用自 http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/

0x00 前言


安全公司 palo alto networks 于3月17日發表了 《AceDeceiver:第一款利用DRM設計缺陷感染任何iOS設備的iOS木馬》,利用蘋果DRM系統設計漏洞傳播惡意程序,竊取蘋果用戶的敏感信息,安全研究人員建議用戶立即卸載電腦和手機上安裝的愛思助手及其安裝的所有iOS應用。

0x01 AceDeceiver 簡介


它是第一款利用DRM設計缺陷感染任何iOS設備的iOS木馬。研究人員將該惡意程序家族命名為AceDeceiver,它利用了蘋果DRM保護機制 FairPlay的設計漏洞在iOS設備上安裝惡意程序,利用該漏洞的攻擊方法被稱為FairPlay中間人攻擊,早在2013年就已被利用傳播盜版iOS應用。

FairPlay是蘋果創建的DRM技術,用來保護數字版權。每一個新的客戶使用的iTunes購買時都會生成一個新的隨機用戶密鑰和用于加密的主密鑰。隨機用戶密鑰連同賬戶信息存儲在蘋果的服務器上同時發送到iTunes。iTunes再用自己的密鑰去存儲這些密鑰。使用該密鑰信息庫iTunes是能夠檢索解密的主密鑰所需要的用戶密鑰。

當用戶授權一臺新電腦,iTunes會發送一個唯一機器標識符到蘋果的服務器,接收存儲與該帳戶信息的所有用戶密鑰。這保證了蘋果能夠限制被授權的計算機的數量,并確保每個授權計算機的購買記錄。

在授權的關鍵一步是連接的iOS設備發送 afsync.rqafsync.rq.sig給PC端,然后itunes會返回正確的afsync.rs 和 afsync.rs.sig文件給iOS設備,文件正確后才會解開DRM保護安裝App。

enter image description here

愛思助手通過實現模擬客戶端的iTunes行為,模仿iTunes和iOS設備通信對用戶的設備進行欺騙,用戶可以安裝他們從來沒有實際支付的應用,以及軟件的創建者可以在用戶不知情的情況下安裝潛在惡意應用程序。

攻擊流程如下圖:

p1

通過模擬iTunes 的中間人客戶端,對用戶進行攻擊,攻擊包括安裝惡意App,盜取Apple id 賬戶信息等。

0x02 盜取App 賬戶密碼


如果用戶從中國訪問作為第三方的應用程序商店的AceDeceiver上的iOS應用。,一些在商店所提供的應用程序或游戲也是通過FairPlay的MITM攻擊安裝的。此外,這些應用建議用戶輸入自己的Apple ID,密碼,使用戶可以“從App Store直接安裝免費應用程序,應用程序購買,登錄游戲中心”。

下圖是 愛思助手提示用戶輸入自己的Apple id 密碼等。

p2

當用戶輸入信息后會將加密的Apple ID和密碼發送回AceDeceiver的C2的服務器的“http://buy.app.i4[.]cn”,如下圖如示。

p3

p4

0x03 通過愛思助手傳播


“愛思助手 (Aisi Helper)” 這款Windows 客戶端是位于中國深圳的一家公司開發的,研究者與2016年2月的調查,愛思助手的Windows或iOS從官方網站下載客戶端包含的AceDeceiver木馬。

并且公司網站的法律公告上寫著與個人資料泄露,丟失,被調用或篡改等不負任何責任。 如下圖:

p5

0x04 躲避App Store檢查


愛思助手主要分為愛思助手iOS版,愛思助手Windwos版。

愛思助手一開始沒有表現出惡意行為,到2014年12月它積累了超過1500萬用戶,2015年3月它嵌入的iOS版加入了密碼竊取功能,它會自動在連接到PC上的iOS設備上安裝惡意應用。

愛思助手iOS 版偽裝成墻紙應用通過了蘋果的審查,研究人員發現“AceDeceiver iOS App”在2015年7月到2016年2月之間就有上傳到官方應用商店。通過對惡意程序指令控制中心(C2)的分析發現,AceDeceiver非常具有欺騙性,能在應用審查期間關閉惡意功能,而惡意功能只面向中國IP地址開放。

0x05 如何處理


為了用戶的敏感信息不被竊取,安全研究人員建議用戶立即卸載電腦和手機上安裝的愛思助手及其安裝的所有iOS應用。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞