一、事件概述 前段日子我的Mac电脑日历经常会弹一些推广链接广告啥的,不是在线澳门赌场,娱乐场,就是啪啪啪视频链接,反正这两类东西,大家都懂的,今天老婆回家,手机里又出现了,然后问我这是啥东西,怎么老是给我发这些消息,我才发现这东西”不简单“,之前在我Mac上出现没当回事,想想其实这种情况已经有一个月左右了,因为我老婆的appleid和我的Mac上使用的appleid是同一个,所以我们俩同时收到了这些垃圾推广信息,喜欢研究的我,当然也不能放过这个问题了,研究是什么原因?里面又隐藏着什么?能抓到一两个样本,就更好了,哈哈! 二、“真凶“追查记 前面说到我的电脑经常会出现日历推送信息,如下图所示:
随便选中一个推荐信息,然后右键点击查看简介,如图所示:
是一个叫周中的组织者给我发的推广信息,查看他的邮箱显示:ujwdmwqt1121@dnahe.com,明显是一个随机注册的邮箱地址,但它是怎么给我发送这条信息的呢?我和他又不是联系人,我的日历出现这些推广信息是怎么一回事呢? 带着这些疑问,我是想:我的电脑是不是中毒了?难倒又有啥新的OSX样本出现了?先ps -aux打开电脑进程搜索了一番,然后再对网络数据包进行监控,没有发现啥异常,一般的样本都会上传用户个人信息之类的,所以我都会先从网络和进程两方面下手,查找异常,但都没有发现有啥异常,也不是敲诈者类的样本,百度看看,搜索关键字:苹果日历,马上就出现了我想要的,原来网上已经有很多人中招了,而且我看日期都比较新,基本都是2016年8月份左右开始的问题,说明这类型的推广最近才流行起来的,如图所示:
看了上面广大网友们的求救信息,我才知道,原因真凶就是我的苹果帐号也被一些灰产份子给“苹果日历推”了…… 三、苹果日历推是怎么推的? 从上面的搜索结果看,原来不是中毒了,空欢喜一场了,不然又可以抓个样本来分析一下了,其实这些灰产人员根本就没有使用啥高深的技术,只是利用了苹果日历软件的一个BUG而已,苹果日历软件,在新建一个事件的时候,可以发送邀请给朋友的相关的邮箱,标题,地址都可以自定义修改,而且字数,时间段等都不受任何限制,如图所示:
XXXXXX@qq.com就我随便写的一个邮箱,如果这里填相关的appleid的邮箱,那么就会推送给相应的appleid,如果这个帐号在多台苹果设备上使用,同时会推送给相应的使用这个苹果帐号设备!而且这种类型的推广不用盗走你的appleid帐号,也不需要加你的appleid到联系人,可以随便发送给任何appleid帐号…… 四、苹果日历推的产业链 了解了上面的一些知识点,我们下面就来YY下吧,从上面的搜索结果看,发现这种类型的推广似乎已发展成一种产业链的形势了,我搜索了一下网上的做这种推广的灰产,发现有一款狂人软件,链接:http://www.kuangren.net/,里面有一个类型的”苹果日历推“软件,如图所示:
软件还不便宜,一款软件要卖到3800块钱一套了,哈哈,应该也是易语言写的,发现好多这种类型的软件都喜欢使用易语言来写,因为有很多现成的”超级“模块可以用,可以很简单实现一些技术,以前做QQ盗号的时候,也会遇到一些用易语言来写简单的QQ盗号的,发现易语言真的很“强大”,是不是一些灰产人员专用语言了! 研究发现这款软件的主要功能点如下:
(1)两台动态vps,一台用来挂机检测帐号,一台用来挂机群发 (2)注册或购买一批苹果帐号,群发软件利用这些帐号来登录然后发送信息 (3)采集大量的邮箱,然后筛选出已经注册过苹果ID的邮箱 (4)开始大量群发
这里有两个小技术点:(1)检测邮箱是否注册了appleid (2)注册一批appleid,用于发送日历推广,哪里有需求,有利可图,哪里就有供应,于是网上就有了各种需求,如图所示:
这样一个简单的产业链就形成了,画个简单的产业链流程图:
软件开发人员主要是利用苹果日历软件一个BUG,然后写出相应的自动化工具,再销售给相应的需求人员(在线赌博网站,色情网站之类的站长或推广人员),然后他们再进行推广传播,产业链虽然很小,其实也算不上啥”产业“,哈哈,但也算是比较新型的一种攻击方式,而且受影响的用户还是蛮多的,而且防不胜防! 五、总结 本来以为电脑中毒了,可以抓到一些样本来分析一下,给大家带点有技术含量的文章,没想法就YY了一下,哈哈,下次抓到啥好的osx类的样本,再给大家分析一把,总算是对老婆有个交待,免得被她鄙视,说我连这个都不知道是什么原因,还说自己是搞搬砖行业的,呵呵。 推广软件使用了几个技术点,一个验证邮箱,一个发送日历推,本来想分析一下,只可惜没有下到相应的软件,不然可以抓包分析一下,估计也就是利用相关的网络协议发送数据包,然后检测返回值之类的,大家如果有兴趣可以下载这样的软件,去抓下包就可以了,基本没啥技术点可言! 下面说些自己对现在一些”灰“产业的理解吧,随着我国网络安全法等法规的逐渐完善,像以前那种直接写恶意木马盗号,窃取用户信息的团队也在逐渐减少,同时也被打击了不少,现在的各种网络攻击手段主要用于国与国之类,间谍类软件,机密文件或商业文件的窃取中,以后这类型的攻击案例可能会越来越多,网络安全真的已经是上升到国与国之间,以前用间谍来盗取国家信息,现在就使用木马来实现,一般的普通用户也不会受到啥影响,国内现在出现了越来越多的像上面这种灰色的团伙组织,这类团队都是打擦边球,搞一些类似的刷QQ会员,刷砖,推广,捆绑流氓下载等,还有就是国内的各种诈骗团队也是越来越多,虽然国家已经加大了打击力度,但通过这种方式赚钱的人,可能是出于下面两个因素,所以屡禁不止: (1)自身文化水平低下,又想赚大钱,想发财 (2)诈骗不需要啥技术水平,只要有一颗强大的内心即可……
所以这些网络犯罪越来越多,通过购买一些用户的资料,然后进行网络诈骗,基本全靠忽悠,有一点技术水平的,会开发点程序的,就会去做灰产,用易语言写个推广,下载者,刷砖之类的东西,或简单的自动化外挂,脚本之类的,这样可以赚点钱,也会不有大的风险,所以现在PC上大量的捆绑流氓推广类样本,还有就是敲诈者类样本,像以前的一些技术含量比较高的鬼影类样本,这样的开发团伙已经没有心思去花大量时间去搞了,年纪来了,赚不到啥钱,风险还很高,抓进去之后,老婆孩子咱办?呵呵 好了,YY这么多,就到这吧,就算给随便科谱一下这种“苹果日历推”的一些知识,大家如果也和我一样遇到这样的问题,就心里有数了,不用方了,你问我有啥方法可以解决吗?网上已经有了一些方法了,也只能这样了,苹果日历接收邀请后,只有三个选项:接受,可能,拒绝,解决的方法只有一个了:关闭日历同步选项,具体的方法如下: 设置→iCloud→关闭日历同步选项,如图所示:
如果想彻底清除,只能等苹果官方来解决这个问题了,大概苹果还不太了解国内灰产市场,也没听说过易语言,这门神奇的语言吧,呵呵,目前只有更换自己的AppleId的关联邮箱了,也不知道苹果啥时候能修复这个BUG,诶! 参考链接 http://mt.sohu.com/20160922/n468940176.shtml http://bbs.feng.com/forum.php?mobile=no&mod=viewthread&tid=10917526 http://www.macx.cn/thread-2189628-1-1.html http://mobile.163.com/16/0816/11/BUJ950NN0011179O.html https://zhidao.baidu.com/question/756365316890077804.html http://www.25pp.com/news/news_96630.html?_t_t_t=0.09916491433978081 http://v.ku6.com/show/80oXVMUfctKECFpcuLNQBQ…html http://blog.tianya.cn/post-7325060-118834035-1.shtml http://bbs.125.la/thread-13945968-1-1.html http://tieba.baidu.com/p/4812029590 http://bbs.125.la/thread-13949572-1-4.html http://bbs.125.la/thread-13947384-1-1.html http://tieba.baidu.com/p/4814078967 http://bbs.125.la/thread-13952288-1-2.html http://bbs.125.la/forum.php?mod=viewthread&tid=13949490&highlight=%C6%BB%B9%FB
|