本文讲的是 AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序,近日,我们发现了一个全新系列的iOS恶意软件,能够成功感染非越狱设备,我们将其命名为“AceDeceiver”。
与过去两年某些iOS恶意软件利用企业证书发动攻击不同,AceDeceiver则无需企业证书即可自行安装。其原因是,AceDeceiver利用了Apple DRM机制上的设计漏洞,即使其已被苹果从App Store内移除,也可以借助其他全新攻击途径进行传播。
AceDeceiver是我们看到的第一个可以利用苹果DRM Fairplay保护机制设计漏洞的iOS恶意软件,它可以在iOS设备上安装恶意应用,不论这些iOS设备是否是越狱版。这项技术也叫“FairPlay中间人攻击”(FairPlay Man-In-The-Middle, MITM),自2013年起就被用来传播盗版iOS应用,但这是我们第一次发现它被用来传播恶意软件。(“FairPlay中间人攻击”技术还在2014年USENIX安全会议上被提出过,然而,使用这种技术发动的攻击却依然成功地发生着)
Apple 允许用户通过自己的iTunes 软件购买及下载iOS应用程序。然后通过电脑把这些应用程序安装到自己的iOS设备上,而iOS设备要求每个应用程序提供一个权限代码以证明该应用程序购买的合法性。
在“FairPlay中间人攻击”中,攻击者会先在App Store 上购买一个应用程序,然后拦截并储存该权限代码。跟着他们建立一个会激活iTunes软件执行的PC软件,来欺骗iOS设备相信此应用程序是受害者购买的。因此,用户可安装那些其实并非他们购买的应用程序,而该PC 软件的作者则可在用户未知的情况下在其iOS设备上安装可能是恶意的应用程序。
在2015年七月至2016年二月期间,AceDeceiver家族旗下三个不同的iOS应用程序被上传到官方的App Store,并声称为壁纸应用程序。这些应用程序使用ZergHelper的相似方法,通过在不同的地理位置执行不同的操作,成功绕过至少七次Apple的代码审查(包括它们每个程序的首次上传和随后就Apple要求额外审查的四轮代码更新)。在目前情况下,AceDeceiver只向位于中国的用户作出恶意行为,但攻击者能轻易地在任何时候作出改变。Apple在我们向它报告后于2016年二月下旬已从App Store删除了这三个应用。然而,由于“FairPlay中间人攻击”要求这些应用程序只需在App Store中存在过一次,因此这攻击仍能运作。只要攻击者能取得Apple认证的副本,这攻击不需要使用现有的App Store 来传播这些应用程序。
要发动攻击,作者创造了一个叫“爱思助手”(Aisi Helper)的Windows 软件用作发动“FairPlay中间人攻击”。
盗窃Apple ID 及密码
这些应用程序强烈建议用户输入Apple ID 及密码,这可使他们直接在App Store上安装免费应用程序,执行应用程序内的购买及登入游戏中心。
AceDeceiver要求用户输入Apple ID及密码的界面,具有“引导”及“免责条款”,并声称他们不会将密码发送至自己的服务器,只会在解碼后储存于本地设备。但是,我们证实这并不真实。
降低风险
AceDeceiver的所有三个木马程序已于2016年二月下旬被Apple从App Store中移除。即使如此,“爱思助手”Windows程序仍能通过使用“FairPlay MITM 攻击”把这些应用程序安装到没有越狱的iOS设备上。我们还就由AceDeceiver应用程序签署的旧的企业证书向Apple报告。所有这些已知被利用的企业证书亦被废除。
我们建议安装了“爱思助手”Windows客户端或于2015年三月后安装了“爱思助手”iOS应用程序的用户立即删除这些软件和应用程序,并更改他们的Apple ID密码。我们亦建议所有iOS用户启用Apple ID 双重认证。
企业方面,我们建议使用以下一组标识符,检查是否有安装任何用于管理Apple装置的iOS应用程序:
com.aisi.aisiring
com.aswallpaper.mito
com.i4.picture
由于AceDeceiver也能通过企业证书传播,我们还建议企业检查未知或异常供应商的基本资料。
目前为止所有已知的恶意流量都来自或传递至i4[.]cn下的子域名。企业也可以查看通过该域名的流量以识别潜在的AceDeceiver流量。
原文发布时间为:三月 17, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/14396.html
