腐朽的苹果:对一 *** iCloud垂钓网站的监测与剖析

访客6年前关于黑客接单656

国外的FireEye实验室有一套主动化体系,这套体系可以主动侦测最新注册的歹意域名。所谓的歹意域名,绝大部分都是假装成很多人知道的常用域名,以此来到达“歹意”的目的。比方说假装成苹果公司的域名——FireEye的这套体系最近就检测到了本年一季度注册的不少此类垂钓域名。
这类域名的特征便是拿手假装,跟合法域名“长得”很像。FireEye报导称,这些“伪苹果”域名针对的主要是我国和英国的苹果iCloud用户。虽然FireEye从前从前追寻过不少相似的域名,但这次的状况比较共同:这些站点的歹意垂钓内容是相同的,并且手法比较杂乱,乃至可以躲避垂钓检测体系。

 
众所周知,苹果用户都有个Apple ID。Apple ID可以说是苹果 *** 服务的中心账户了,贯穿于iCloud、iTunes Store、App Store等等服务。其间iCloud是苹果的云服务,实时确保用户苹果设备上的文档、相片、联系人等材料同步;此外iCloud也供给与朋友共享相片、日历、地理位置等的接口;它也能用来找回丢掉的iOS设备。
或许对很多人而言,iCloud更重要的作用是iCloud Keychain(密钥链)功用。这项功用用于存储用户的暗码、信用卡信息,这样一来用户在iOS和Mac设备上操作时,iCloud就能协助用户主动填写这些信息了。有了Apple ID、暗码,还有其他一些信息(比方生日、设备解锁码),对设备就有比较完好的操作权限,乃至可以运用信用卡信息在Apple Store购物。
而下面这些针对苹果用户的垂钓进犯,便是高度组织化,并且比较杂乱的垂钓进犯,一部分针对我国人,一部分针对英国人。
针对我国苹果用户的Zycode垂钓进犯
下面这张列表便是FireEye Labs在本年3月份检测到的、针对苹果用户的垂钓域名。当然这些域名必定都不是苹果注册的,天然也不会指向苹果的产品:

 
显着,黑客是想仿照和iTunes、iCloud和Apple ID相关的网站,便是要招引用户输入他们的Apple ID。拜访这些域名,绝大部分都出现Apple ID、iTunes和iCloud的登录界面;网页还布置了非常杂乱、可疑的JavaScript代码。听说关于剖析表单和依靠HTML内容的反垂钓体系而言,这些网站可以很大程度令其失效。
从调查到的成果来看,这些域名显着都是在我国注册的,并且注册用的仍是 *** 邮箱。
垂钓内容剖析
一般咱们经过简略检查HTML代码,大致就能明晰垂钓内容,理论上这些代码应该是一部分图片用来仿照苹果品牌,别的还有一些搜集用户凭据的表单。一般来说,如果是这样的话,垂钓检测体系就可以在HTML页面内容中发现问题,但在此处却失效了。
初看起来,这儿仅仅向页面建议简略的GET恳求,呼应内容却是编码过的JavaScript代码。这么一来,除非是在浏览器或 *** 模拟器中真的去履行,不然还真是看不出其实在目的。下面便是从代码中获取到的编码字符串的一部分。

 
编码后的字符串StrHTML,需求经过一系列杂乱的23种解密函数,包含数制转化(number system conversions)、伪随机规矩表达式的修饰符(pseudo-random pattern modifiers)等,然后还要加上采用了固定密钥“zycode”的XOR解码,最终才得到了真实的HTML垂钓内容(拜见附录1)。所以说,仅依靠于呼应部分HTML的垂钓检测体系,在此显着是底子无法发挥作用的。

 
一旦这些代码真实在浏览器中加载,混杂后的JavaScript也就构建起了iCloud垂钓页面,如上图所示。

 
这便是复原混杂后(de-obfuscated)的内容。

 
然后用Burp Suite东西来调查,上图展现的便是用户供给的登录和暗码信息提交到HTML表单。此处可以看到,以HTTP POST *** ,5个变量(u,p,x,y和cc)和1个cookie被发往save.php页面。

 
用户输入登录信息后,页面会被重定向到上面显现的“苹果”页面。有意思的是,这个页面的一切链接却是指向正确的苹果官网域名的,这些无关紧要。该页面还仅支撑中文(交心服务),“验证您的出生日期或设备屏幕锁以持续”。

 
若进入下一步,用户被带到ask3.asp页面。这个页面会问询你更多账户细节。

[1] [2] [3]  黑客接单网

相关文章

小学生都会挖掘的JSON Hijacking实战利用

JSON Hijacking缝隙的具体使用,有点相似与CSRF,不过原理使用方法不同,在这边文章我侧重解说json跨域绑架的使用环境建立与方法。 0×01缝隙的发掘 一般发掘的过程中,burpsuit...

文件包括&奇技淫巧

前语 最近遇到一些文件包括的标题,在本篇文章记载两个trick。 环境布景 复现环境仍是很简略建立的: 例题1(php7) index.php dir.php 例题2(php5) index.php...

DedeCMS v 5.7 sp2 RemoveXSS bypass

DedeCMS 简称织梦CMS,当时最新版为 5.7 sp2,最近又去挖了挖这个CMS,发现过滤XSS的RemoveXSS函数存在缺点导致能够被绕过。 相关环境 源码信息:DedeCMS-V5.7-U...

浸透测验神器Cobalt Strike的“双面特务”身份剖析

CobaltStrike是一款内网浸透的商业远控软件,支撑自定义脚本扩展,功用十分强壮,常被业界人称为CS神器。Cobalt Strike现已不再运用MSF而是作为独自的渠道运用,它分为客户端与服务端...

小白的代码审计之路

 此文由猪八戒SRC,代码审计小鲜肉“呆呆的骗子大婶”倾情贡献~欢迎勾搭! 一、 代码 审计指令注入 PHP自带的函数中供给了几个能够履行体系指令的函数,在web项目的开发中一般是不会用到的,但...

可能是史上最先进的歹意广告进犯:一个Banner就感染了上百万PC,yahoo、MSN等大型网站

一个广告Banner,不需要什么交互就或许让你的PC感染歹意程序,是不是感觉很牛掰?听说就现在为止,现已有上百万PC因为这样的原因被感染。并且许多大型网站好像都中招了,其间就包含yahoo和MSN,假...