圖1-FairPlay中間人攻擊流程
近日,我們發現了一個全新系列的 iOS 惡意軟件,這個惡意軟件叫做“AceDeceiver”,能夠成功感染任何非越獄設備。
與過去兩年中某些 iOS 惡意軟件利用企業證書發動攻擊不同,AceDeceiver 無需企業證書即可自行安裝。究其原因是,AceDeceiver 利用了 Apple DRM 機制上的設計漏洞,就算蘋果將其從 App Store 內移除,AceDeceiver也可以借助全新的攻擊途徑進行傳播。
AceDeceiver 是我們發現的首個利用了蘋果 FairPlay DRM 保護機制漏洞的 iOS 惡意軟件,能夠在 iOS 設備上安裝惡意應用,無論這些 iOS 設備是否已經越獄。這項技術也叫“FairPlay 中間人攻擊”(FairPlayMan-In-The-Middle, MITM),自2013年起就被用來傳播盜版 iOS 應用,但這是我們第一次發現這項技術被用來傳播惡意軟件。(雖然,早在在2014年,USENIX安全會議上就曾經演示過“FairPlay 中間人攻擊”技術,但是,直到今天,利用這種技術還是能成功的實施攻擊活動)。
Apple 允許用戶通過 iTunes 客戶端購買及下載 iOS 應用程序,然后通過電腦把這些應用程序安裝到自己的 iOS 設備上,而 iOS 設備會要求每個應用程序提供一個權限代碼以證明該應用程序是合法購買的。在“FairPlay 中間人攻擊”中,攻擊者首先會在 App Store 上購買一個應用程序,然后攔截并儲存該權限代碼。隨后,他們會開發一個PC軟件來模擬iTunes客戶端的行為,從而欺騙 iOS 設備相信此應用程序是受害者購買的。這樣,用戶就可以免費安裝一些收費的app,而該 PC 軟件的作者則可以在用戶不知情的情況下將潛在的惡意應用安裝到用戶的 iOS 設備上。
圖1-FairPlay中間人攻擊流程
在 2015 年七月至 2016 年二月,AceDeceiver 家族旗下三個不同的 iOS 應用程序被上傳到了官方的 App Store,并顯示為壁紙應用。這些應用程序使用與ZergHelper 的相似方法,通過在不同的地理位置執行不同的操作,至少七次成功地繞過了 Apple 的代碼審核(包括首次上傳,四輪代碼更新)。在目前情況下,AceDeceiver 只向位于中國的用戶表現出惡意行為,但攻擊者能輕易地改變應用的行為。Apple 在收到我們的報告后,于2016 年二月下旬從 App Store 中刪除了這三個應用。然而,由于“FairPlay 中間人攻擊”要求這些應用程序只需在 App Store 中存在過一次,即使app下架,這種攻擊方式仍然能生效。只要攻擊者取得了 Apple 認證的副本,那么就不需要再使用 App Store來傳播這些應用程序。
為了發動攻擊,木馬作者創造了一個叫“愛思助手”(Aisi Helper)的 Windows 軟件來執行“FairPlay中間人攻擊”……愛思助手能夠為iOS設備提供支持服務,例如,系統重裝,越獄,系統備份,設備管理和系統清理。但是,當iOS設備連接到安裝了愛思助手的PC時,愛思助手也會悄悄的安裝惡意應用。(注意:在感染時,只會在iOS設備上安裝最新的一個應用,而不是三個應用都安裝。)這些惡意iOS中提供了一個第三方軟件商店的連接,誘使用戶從中下載iOS應用和游戲,但是這個商店是由木馬作者控制的。這些應用會要求用戶輸入自己的Apple ID和密碼來解鎖更多功能,我們懷疑這些憑證會在加密后,上傳到AceDeceiver的C2服務器。另外,我們還發現了幾個早期版本的AceDeceiver,有的最早使用了日期為2015年3月的企業證書。
在截稿時,AceDeceiver只會感染位于中國大陸的用戶。但是,更嚴峻的問題在于,AceDeceiver的成功證明了一種相對簡單的方式來感染未越獄設備。因此,我們很可能會在未來發現更多其他地區的用戶也會感染這種木馬,無論是由這些攻擊者,還是其他模仿者來發動。從危險程度來看,這種新型的攻擊技術也更具威脅性,原因如下:
分析了AceDeceiver,我們認為FairPlay中間人攻擊活動會成為一種針對未越獄iOS設備的常用攻擊途徑,也會因此威脅到全球的iOS用戶。Palo Alto Networks已經放出了IPS簽名(38914, 38915),也更新了URL過濾和威脅防護機制來幫助其客戶防御AceDeceiver木馬,以及FairPlay中間人攻擊技術。
在接下來的部分,我們會詳細地分析AceDeceiver的傳播方式,攻擊技術和實現方法。另外,我們還談到了FairPlay中間人攻擊是如何生效的,并討論了Apple DRM技術中存在的安全漏洞。
2013年1月:FairPlay中間人攻擊被用于傳播盜版iOS app
2014年8月:在第23屆USENIX安全會議上,研究人員分析了FairPlay 中間人攻擊技術
2015年3月26日:AceDeceiver的iOS app使用了企業證書作為簽名,并新增了密碼盜取功能。這些app都是植入在Windows版的愛思助手客戶端中
2015年7月10日:香港和新西蘭App Store中出現了AceDeceiver的iOS版“愛思助手”
2015年7月24日:愛思助手Windows客戶端通過升級,植入了與App Store中版本相同的愛思助手
2015年11月7日:美國App Store中出現了AceDeceiver的iOS app-“AS Wallpaper”
2016年1月30日:美國和英國App Store中出現了AceDeceiver的iOS app-“i4picture”
2016年2月21日:Palo Alto Networks公布了ZergHelper研究報告
2016年2月24日:Palo Alto Networks向Apple舉報了AceDeceiver
2016年2月25日:App Store中移除了AceDeceiver的應用
2016年2月26日:Palo Alto Networks向Apple舉報了AceDeceiver的FairPlay中間人攻擊
愛思助手中的AceDeceiver木馬是由中國深圳的一家公司開發的。AceDeceiver的C2服務器域名就是愛思助手的官網www.i4[.]cn。木馬還利用了這個域名的三級URL進行下載和更新。
圖2-愛思助手的官網
愛思助手是一個Windows版本的客戶端,能夠向iOS設備提供諸如系統重裝,系統備份,設備管理和系統清理等服務。當中國大陸的用戶安裝了iOS版的愛思助手后,無論其iOS設備是否越獄,都可以從第三方軟件商店中下載應用和游戲,只是這個軟件商店是在攻擊者的控制下。攻擊者提供的大部分iOS app都是盜版的。有意思的是,據中國數據庫及商業信息服務網站-IT桔子稱,愛思助手最初在2014年1月發布,當時還不具有任何惡意功能。截至,2014年12月,愛思助手的用戶量超過了1500萬人,每月的活動用戶有660萬以上。而惡意功能是在2015年才新增的。
用戶通過電腦訪問愛思官網時,無論使用的是什么操作系統,網站都會提示用戶安裝愛思助手的PC客戶端。一旦安裝,愛思PC客戶端就會自動向連接到計算機的iOS設備安裝最新的惡意iOS app。但是,如果用戶是通過iPhone或iPad訪問其網站,瀏覽器就會被重定向到移動版的官網 (m.i4[.]cn),并推薦用戶安裝一個使用了企業證書簽名的iOS版愛思助手。在2016年2月,我們調查發現,所有從愛思官網下載的愛思助手,無論是Winsows版本還是iOS版本中,都植入了AceDeceiver木馬。
根據我們對AceDeceiver功能的了解,愛思網站的法律聲明有點可疑。第七條中寫到“任何由于黑客攻擊、計算機病毒侵入或發作,因政府管制而造成的暫時性關閉等影響網絡正常瀏覽的不可抗力而造成的個人資料泄露、丟失、被盜用或被竄改等,本網站均得免責。”
圖3-個人資料泄露、丟失、被盜用或被竄改等,其產品免責
我們在官方App Store中發現了3個屬于AceDeceiver家族的iOS app。第一個app是在2015年7月10日發布的,第二個是2015年11月7日,第三個是在2016年1月30日。所有這幾個app都偽裝成了合法的壁紙應用,但是每個在App Store中都顯示了不同的名稱,使用了不同的應用標識符和不同的開發者賬戶。
圖4-App Store中第三個來自AceDeceiver家族的惡意app
| App Store中的顯示名稱 | 版本 | Bundle ID | 發布時間 | 地區 | 開發者 |
|---|---|---|---|---|---|
| 壁紙助手 | 6.0.x | com.aisi.aisiring | 7/10/2015 | 香港、新西蘭 | fangwen huang |
| AS Wallpaper | 7.0.x | com.aswallpaper.mito | 11/7/2015 | 美國 | Yuzu He |
| i4picture | 7.1.x | com.i4.picture | 1/30/2016 | 美國、英國 | liu xiaolong |
表1-App Store中的3個AceDeceiver app
正常情況下,任何app在申請上架App Store時,Apple首先會審核其代碼。如果開發者想要更新現有的iOS app,Apple會要求再次審核新版本應用的代碼。目前,我們發現在App Store中的所有AceDeceiver app都經過了更新。也就是說,AceDeceiver成功7次繞過了Apple的代碼審核。
圖5-面向非中國用戶的界面
這些app在啟動時,首先會訪問URL tool.verify.i4[.]cn/toolCheck.xhtml,也就是AceDeceiver的C2服務器,然后才會顯示用戶界面。如果URL返回“0”,用戶界面就會顯示攻擊者控制的第三方軟件商店。但是,如果URL返回“1”或0以外的結果,用戶則會看到一個壁紙應用的界面,如圖5。
圖6-iOS app訪問C2來判斷要顯示哪個用戶界面
圖7-iOS首次聯系C2
在2月份時,我們對這些app進行了分析,結果顯示,如果設備的IP地址來自中國大陸,AceDeceiver的C2服務器就會返回“0”。如果這些app并不是利用此種方法來繞過Apple的代碼審核,那么攻擊者可能是在審核期間,把服務器設置成總返回“1”,這樣不管Apple的審查人員身處何處,看到的總是一個壁紙應用的用戶界面。
除了這種利用不同用戶地區的技巧,AceDeceiver還做出了其他一些努力來避免惡意應用的暴露。
首先,攻擊者選擇了只向一個選定地區提交應用。蘋果面向全球的155個不同地區提供了Apple Store服務。用戶通常只會選擇從當地的App Store中下載應用,并且無法安裝其他地區的app。前面提到的ZergHelper作者向所有155個地區的App Store提交了app,但是AceDeceiver的作者并沒有這樣做。比如,在我們調查期間,第三個app-“i4picture”只在美國和英國的App Store中是可用的。由于這種分發策略,木馬作者很可能猜測Apple不會審查來自中國的app。這樣能夠大幅降低安全研究人員發現惡意app的幾率,因為任何其他位置的用戶即使從App Store中下載了這個app,也不會發現任何惡意功能。
其次,除了根據IP地址顯示不同的用戶界面,根據我們的測試,AceDeceiver還會通過收集信息來記住一臺設備。這些app會把設備的唯一ID上傳給C2服務器。如果有一臺設備曾經在中國以外的地區使用過,那么即使這臺設備隨后又更改回中國的IP地址,惡意功能也會是隱藏的。
第三,這些app也會在不同的情景下顯示不同的名稱。例如,6.0.4版本使用了與ZergHelper相同的技巧,但是,在App Store頁面上,顯示的名稱是“壁紙助手(Wallpaper Helper)”;而在iOS設備上,顯示的名稱會變成“愛思助手(Aisi Helper)”。我們是通過檢查IPA文件的iTunesMetadata.plist才發現了這些app在名稱顯示上的差異。在之后的版本7.1.2中,這個app在使用了簡體中文的iOS設備上會顯示為“愛思助手(Aisi Helper)”,而在所有其他設備上,其名稱是“i4picture”。
圖8-iOS和App Store頁面上顯示不同的名稱
圖9-使用不同語言顯示不同名稱
在我們調查AceDeceiver時,最奇怪的部分是,木馬的app并不在中國大陸的App Store中,但是其惡意功能針對的是中國大陸的用戶。帶著這一點疑問,我們發現了FairPlay中間人攻擊的利用方式。通過中間人攻擊,這些app不需要通過App Store就可以安裝到iOS設備上。
圖10-在iTunes中認證一臺計算機
FairPlay是Apple在多年以前開發的一種數字版權管理(DRM)技術,旨在保護通過iTunes和iPods上的歌曲使用。基于DRM,Apple用戶可以通過iTunes將iOS app下載到PC或Mac上,然后再通過計算機將這些app安裝到他們的設備上。在安裝之前,用戶必須要用在購買這些app時使用的Apple ID來“認證這臺計算機”。Apple嚴格限制,每個Apple ID只能用于認證最多5臺計算機。攻擊者正是濫用了這一過程。
在app安裝時,認證過程中有一個很關鍵的步驟就是已連接的iPhone或iPad會把afsync.rq和afsync.rq.sig發送到計算機上,并且計算機上的iTunes軟件需要把正確的afsync.rs和afsync.rs.sig文件作為響應,返回給iOS設備。只有響應正確的afsync.rs,iOS設備才可以安裝這個app,并解密其DRM防護(真正的協議要比我們描述的復雜;為了便于說明,我們做出了一些簡化。)
圖11-在app安裝時,正常的認證過程
但是,這一過程中存在一些設計漏洞
首先,Apple只限制了需要使用購買iOS app時的Apple ID來驗證這臺計算機,而沒有限制這些app可以安裝到多少臺iOS設備上。
第二,Apple允許不使用iOS設備上的Apple ID來購買app。
第三,用于保護app 安裝器文件(IPA文件)的DRM總是一樣的,與app下載到了哪臺計算機,購買app時使用的Apple ID無關。總的來說,問題在于FairPlay DRM防護只關注了app本身,而沒有關聯Apple ID和iOS設備。在Apple設計的這種防護機制中,其安全性依靠的是計算機認證和這臺計算機與相應設備之間的物理連接。
這些設計漏洞致使FairPlay中間人攻擊成為了可能。在攻擊時,攻擊者可以認證一臺計算機,然后從任意地區的App Store中購買一個iOS app,這樣就能生成正確的afsync.rs響應。然后,攻擊者可以把這個afsync.rs部署成C2服務器上的一個服務。現在,攻擊者就可以創建PC或Mac軟件了。客戶端軟件需要模擬iTunes連接iOS設備和安裝iOS應用的功能。當客戶端接收到iOS設備發來的afsync.rq時,就會把這個文件上傳到C2服務器,然后從C2服務器獲取正確的afsync.rs響應,接著再把這個響應發送到iOS設備。
通過在C2服務器上部署已經通過認證的計算機,并使用客戶端軟件作為中間代理,攻擊者就可以將這個已購買的iOS app部署到無限數量的iOS設備上。
圖12-FairPlay中間人攻擊中的認證過程
考慮到攻擊者需要逆向iTunes客戶端才可以知道Apple采用的協議/算法,要想實現FairPlay中間人攻擊也不簡單。即使是這樣,2013年1月,有媒體報道稱,這種攻擊技術已經被用來傳播了盜版iOS應用。2014年8月,王鐵磊和佐治亞理工學院的分析人員聯合發表了論文《論大范圍感染iOS設備的可行性》“On the Feasibility of Large-Scale Infections of iOS Devices”,并在第23屆USENIX安全會議上提出了這一論點。文中詳細的介紹了這種攻擊方式,通過POC實驗證明了這一攻擊技術,并評估了這種攻擊方法如何能在大范圍內使用。
從2013年的報道至今,已經過去了3年,在分析AceDeceiver的過程中,我們意識到Apple仍然沒有修復這一復雜問題。更為嚴重的是,當前的iOS設備和舊版iOS在面對相同的攻擊方式時,仍然是不堪一擊。
我們調查了從5.38版開始到最新版(6.15)的愛思助手Windows客戶端,在客戶端的 “files/i4/60.ipa”路徑下包含有App Store版本的AceDeceiver iOS IPA文件。根據愛思助手官網上的更新日志來看,5.38版本是在2015年7月24日發布的。而那三個有問題的iOS app就是在14天前上架了App Store。有些版本的Windows客戶端中還包含有一個“files/i4/i4.ipa”文件,說明 AceDeceiver的iOS app使用了企業證書來簽名。
在安裝了Windows客戶端后,只要用戶將iOS設備連接到PC,并啟動了客戶端,客戶端中植入的 AceDeceiver app就會利用FairPlay中間人攻擊自動安裝到iOS設備上。這一過程不需要用戶確認。在用戶界面上,會有一個進度條在顯示“Installing Aisi Helper…(正在安裝愛思助手)”,但是沒有任何暫停或取消選項。
圖13-愛思助手Windows客戶端自動安裝木馬app
下面的分析是基于6.12 版本的Windows客戶端。其安裝包是在2016年2月24日,下載于http://d.app6.i4[.]cn/i4tools/v6/i4tools_v6.12_Setup.exe。這個安裝包的SHA-256值是ad313d8e65e72a790332280701bc2c2d68a12efbeba1b97ce3dde62abbb81c97。
安裝了Windows客戶端后,i4Tools.exe文件中的函數sub_4A9530會負責實現安裝和漏洞利用,并且會調用函數sub_4A8CE0來安裝IPA文件,然后調用函數auth來執行FairPlay中間人攻擊。
函數sub_4A8CE0會讀取儲存在\files\i4\60.ipa中的IPA文件,然后調用 am_install_app。am_install_app函數是在i4m.dll文件中實現的,通過與com.apple.mobile.installation_proxy服務通信,從而將IPA文件安裝到iOS設備上。這種方法非常經典。
圖14-將IPA文件安裝到iOS設備
然后,sub_4A9530會調用auth函數,同樣是在i4m.dll文件中實現。
圖15-通過C2 URL調用函數auth,實現FairPlay中間人攻擊
最終是由函數auth實現了FairPlay中間人攻擊。auth函數收到已連接的iOS設備發來的 /AirFair/sync/afsync.rq,通過HTTP POST將這個文件發送給C2服務器auth3.i4[.]cn(在函數sub_10005DB0中實現),從C2服務器接收afsync.rs,然后把這個響應發回到iOS設備的/AirFair/sync/_afsync.rs_。
圖16-Auth函數讀取afsync.rq文件
圖17-通過libcurl將afsync.rq發送給C2服務器
圖18-發送afsync.rq文件的流量
圖19-把afsync.rs復制回iOS
如果用戶來自中國,AceDeceiver的iOS app主要是作為一個第三方軟件商店。注意,在這個商店中提供的有些app和游戲也都是通過FairPlay中間人攻擊安裝的。另外,這些app會強烈建議用戶輸入Apple ID和密碼,這樣用戶就能夠“直接從App Store中免費安裝app,執行應用內購買,并登錄到Game Center”。
在輸入Apple ID和密碼的頁面上,AceDeciver提供了“綁定說明”和“免責條款”內容,并聲稱他們絕不會把用戶的密碼發送至自己的服務器,只是在解密后儲存在本地。但是,事實并非如此。注意,免責聲明的最后一條中寫道,如果用戶的Apple ID出現異常活動,愛思助手不負任何責任。
圖20-iOS app的安裝和Apple ID輸入界面
圖21-輸入Apple ID時顯示綁定說明和免責條款
事實上,我們發現所有版本的AceDeceiver都會把Apple ID和密碼上傳到C2服務器。用戶只要輸入了Apple ID和密碼,這些iOS app就會調用[LoginEntity getLoginAppleId:withPassword:block:]方法來獲取界面上的Apple ID和密碼,然后調用[UserInfo initAppleId:WithPassword]。通過這種方法,Apple ID和密碼都經過了RC4算法的加密,使用的秘鑰是一個固定值。這個秘鑰值本身就十分有意思:
i4.cn/forum.php?mod=viewthread&tid=m&fromuid=n
圖22-Apple ID和密碼使用RC4算法加密
在加密后,Apple ID和密碼會繼續經過Base64編碼和URL編碼,然后設置成一個LoginEntity實例的appleId_RC4屬性和password_RC4屬性。現在,就需要調用[LoginEntity getLoginInfo]。在這種方法下,加密后的Apple ID和密碼會通過URL “http://buy.app.i4[.]cn”發送回AceDeceiver的C2服務器。
圖23-加密后的Apple ID和密碼發送到C2服務器
在分析時,,我們輸入了一個無效的Apple ID:“[email protected]”和密碼:“example123”。通過網絡流量,我們可以看到服務器接收到了下面這個憑證(因為服務器響應了HTTP 200)。
圖24-上傳Apple ID和密碼的流量
于2016年2月下旬,Apple移除了App Store中的這3個AceDeceiver木馬app。即使如此,愛思助手Windows客戶端仍然可以利用FairPlay中間人攻擊,在未越獄的iOS設備上安裝這些木馬app。我們再次向Apple舉報了使用舊版企業證書簽名的AceDeceiver app。所有已知被濫用的企業證書都已經失效了。
我們建議安裝了在2015年3月后安裝了愛思助手Windows 客戶端或愛思助手 iOS app的用戶立即刪除這些軟件和應用,并更改自己的 AppleID和密碼。我們亦建議所有 iOS 用戶啟用 Apple ID 雙重認證。
我們建議企業用戶,檢查蘋果設備上是否安裝了使用下面程序標識符的iOS應用:
由于 AceDeceiver 也能通過企業證書來傳播,我們還建議企業檢查未知或異常的條款聲明。
目前為止,所有已知的惡意流量都來自或發送至i4[.]cn下的子域名。企業也可以查看該域名的流量以識別潛在的 AceDeceiver 流量。
AceDeceiver反映出來,攻擊者正在采用另一種途徑來繞過Apple的安全措施,尤其是向未越獄設備上安裝惡意app。移動端是惡意攻擊者越來越重視的一片領地,安卓設備多年以來一直吸引著大眾的關注,然而隨著iOS設備的風靡,攻擊者也開始注意iOS設備。在撰寫本文時, AceDeceiver主要攻擊的是中國大陸的iOS設備,但是,攻擊者可以很容易的把攻擊活動擴張到世界其他地區。我們已經注意到,這種攻擊技術對于Apple而言可不是分分鐘就可以修復的。
Palo Alto Networks已經發布了一個IPS簽名(38915)來攔截AceDeceiver家族的C2流量。URL過濾和威脅防護已經將相關的URL已經被標記為惡意URL。Palo Alto Networks WildFire會將所有的愛思助手Windows客戶端識別為惡意程序。
Palo Alto Networks還公布了另一個IPS簽名(38914)來應對FairPlay中間人攻擊。
我們非常感激來自Palo Alto Networks的Jen Miller-Osborn和Chad Berndtson能夠協助我們撰寫這份報告。同時感謝來自Palo Alto Networks的Yi Ren, Tyler Halfpop,Yuchen Zhou和Rongbo Shao,正是因為他們的努力,我們的客戶才能幸免于難。