您现在的位置: 华盟网 >> Hack >> QQ 黑客 >> 正文

[组图]使用QQ邮箱漏洞盗取iCloud解锁失窃iPhone团伙溯源

2015/11/14 作者:360天眼安全实… 来源: 360天眼安全实验室
导读 知道你的iCloud是怎么被盗的吗?看完了这个你就知道了

  





  在《QQ邮箱0day漏洞,打开邮件iCloud被盗案例分析》http://bobao.360.cn/learning/detail/2262.html中,360天眼安全实验室揭露了一起利用未公开QQ邮箱跨站漏洞进行的钓鱼攻击。接下来,我们对此事件做了进一步的挖掘,分析谁是可能的幕后黑手。

  我们发现攻击者至少使用了两种攻击方式进行钓鱼:利用跨站漏洞窃取Cookies、伪装iCloud登录页面。

  1、利用跨站漏洞钓取Cookie

  攻击者会发一封带有XSS漏洞的邮件,目标点击后,会把QQ邮箱的Cookies发到攻击者的后台,攻击者收到Cookies后,通过Cookies登陆QQ邮箱,来重置iCloud密码。

  上一篇文章中提到过,攻击者将一个嵌入了iframe的”空”页面地址发送给受害者,受害者在打开这个页面的同时会访问一个qq邮箱预览功能开头的url地址:

  http://open.mail.qq.com/cgi-bin/dy_preview?column_id=1445100421t3853355936t31244&column_url=http://xxxxxxxxxx/mail.xml&column_img_url=&t=unite_tmpl_magazine&qqtype=lockKey10

  其中column_url为预览功能需要的远程xml文件(这里是mail.xml),mail.xml内容如下:

  



  通过解码“onerror”后的十六进制数据得到一个短网址:http://t.cn/RUWp7BJ

  



  打开之后,发现是webxss生成的一个XSS模块,如图:

  



  发现攻击者是通过webxss的测试平台来生成XSS攻击代码并接收漏洞得到利用后返回的Cookie数据的。

  



  笔者申请了一个webxss账号,以下是平台的界面:

  



  2、伪装iCloud页面直接钓取账号

  除了用跨站手段盗取Cookies的方式,攻击者还有伪造iCloud页面骗取账号和密码的方式。我们通过对mail.xml的服务器的进一步挖掘,找到了攻击者的另外2个钓鱼页面:

  hxxp://www.icloud.com.kxhksa.cn/?CQYRH=10044.html

  hxxp://www.icloud.com.myiphone.ren/?ILJIU=33885.html

  其中第一个已经被360网盾拦截,所以攻击者现在一直在用第二个地址进行钓鱼。

  分析发现第二个钓鱼页面会判断IP地址,笔者所在地区的IP地址,会被跳转到www.qq.com

  如图:

  



  挂上代理,打开相同的页面,发现返回了一个伪装iCloud的钓鱼页面,如图:

  



  钓鱼网站是NetBox v3.0搭建的:

  



  输入伪造的账号和密码,发现会把账号密码通过POST请求发送到一个远程地址:

  hxxp://apple.myiphone.ren/ICloud13/save.asp

  



  通过查找hxxp://www.icloud.com.kxhksa.cn/?CQYRH=10044.html

  



  这个钓鱼页面的whois信息,发现网站的所有者是一位叫肖远玉的人(尚不确认注册信息是否真实),注册邮箱为:409****65@qq.com 。

  域名注册时间是2015年11月3日,目前处于活跃状态:

  



  注册者的QQ号,通过QQ资料,猜测应该是一个小号或者盗取的别人账号:

  



  此QQ号码之前的主人名为胡超:

  





  通过查找hxxp://www.icloud.com.myiphone.ren/?ILJIU=33885.html 另外一个钓鱼页面的whois信息,发现网站的所有者注册的邮箱为:99******@qq.com,注册人被置为:zhong en sheng 。

  



  通过查找QQ信息,发现QQ的所有者是一个专门做QQ的XSS的人,根据QQ昵称推测,这人可能姓钟,与whois信息相符。

  

 

  通过查询QQ群关系数据库,发现这个QQ的所有者名为:钟恩胜。

  



  以下是相关QQ疑似所有者在其空间找到的生活照,在深圳市友谊酒店拍摄:

  





  通过进一步地分析关联,我们发现了伪造icloud登录页面得到的账号与密码的后台地址:

  hxxp://118.xxx.xxx.xxx/manager/index.asp

  管理界面如图:

  



  经过后台数据关联分析,发现和此攻击者有关的另外一个QQ号:

  



  但由于我们无法找到更多的证据证明此QQ和本次XSS事件有关,挖掘工作就此告一段落。.

  综上,攻击者主要通过2种方法解绑丢失的iPhone手机

  1、通过XSS钓QQ邮箱的Cookie,然后通过Cookies登陆QQ邮箱,重置iCloud密码解绑

  2、通过发送钓鱼邮件插入伪造的iCloud直接调取iCloud账号密码去解绑丢失的手机

  由此,一条通过黑客手段处理灰色来源手机的黑产似乎隐约可见。

  另外,再提一个之前遇到过用第二种方法钓鱼的典型案例:

  用户反馈,说丢失的手机在新华路上线,让点击网站查看手机的具体位置,攻击者伪装apple的客服发送的一封邮件,发送的链接是一个ifeng.com的一个页面,用户转发给我的邮件如图:

  

http://www.77169.com/hack/UploadFiles_8057/201511/20151114091805648.png

  攻击者发送了一个钓鱼连接,粗略的一看,会以为是正常的凤凰网的地址,大部分人可能会去打开,打开后会弹出一个与本次事件一样的钓鱼页面。

  钓鱼链接如下:

  http://bc.ifeng.com/c?db=ifeng&bid=85271,95182,3436&cid=2501,59,1&sid=33869&advid=349&camid=3546&show=ignore&url=http://newsletter.baidu.com/u.html?stime=2578162195&uid=baidu&eid=6459383&email=12yue05_1@souhu.com&tlid=259&stid=1672&thid=259&url=IzEjaHR0cDovL2NucmRuLmNvbS9yZC5odG0/aWQ9MTQ2ODg3MiZyPWh0dHAlM0ElMkYlMkZ3d3cuZ3VvZnYuY29tJTJGcmV3JTJG

  发现最后面一个参数是base64加密的,解开之后发现是一个网址:

  #1#http://cnrdn.com/rd.htm?id=1468872&r=http%3A%2F%2Fwww.guofv.com%2Frew%2F

  为攻击者精心的把钓鱼地址构造到ifeng.com的子域名里,去借助ifeng.com这个白域名去跳转到真正的钓鱼页面,这样做是为了过QQ邮箱不可信域名拦截,因为发送过去的是一个白域名,各类安全软件不会对一个白域名进行拦截。

  从之前的用户反馈到本次截获的的攻击事件,可以看出攻击者的手法已经由被动的骗取密码,演变成了主动出击获取邮箱登录权限,从而使危害性更高,黑产不会放过任何一个可以使自己增加钱财的技术手段。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴