xcodeghsot whois 溯源分析

發表於 2016-07-21   |   分類於 信息安全   |  

《疑点披露:Xcodeghost威胁情报》
http://weibo.com/p/1001603889214088418627?sudaref=appleu0.sinaapp.com&retcode=6102

Alt text

这个是那篇文章分析出来的域名和身份关联网络。

常用工具说明

whois

whois 是linux下的一个命令,可以用来查找一个域名的信息,包括一些详细的注册信息等等。
还有一些比较好用的whois网站,有一些whois要到域名注册的网站的查询才能查询到一些更加详细的信息,比如godaddy的域名。

https://who.is/
https://who.godaddy.com/
http://whois.icann.org/
http://whois.xinnet.com/

dig

dig 也是linux下的一个命令,比nslookup什么功能更加强大一些,可以用来做域名解析的分析,可以指定dns服务器来解析ip。

域名历史解析

http://domainbigdata.com/ 这个网站不错,可以用来查询dns的过期的历史解析。比如一个域名解析了一次之后,他就把原来的解析删除了,比如在这次的XcodeGhost事件中就是,到了9月11号的时候,用来接收信息的主域名init.icloud-analysis.com就没有再解析,服务器也关闭了。
类似的,还有google网页缓存,也是一个利器,服务器上线之后如果被谷歌爬取到会被缓存一段时间,就算网站下线了也能去看到缓存的历史版本。

社工库关联查询

最后就是一些社工库什么的,可以来查询一些关联,比如邮箱,用户名等等,如果能找到一些撞库的信息,那就更能拓展信息关联的网络。

0×01 C&C域名

C&C域名就是用来控制其他的后门的域名,command & control的简写。
XcodeGhost的C&C域名,主要有3个。
http://init.icloud-analysis.com
http://init.crash-analytics.com
http://init.icloud-diagnostics.com

这三个域名是我们的起点,当然现在这些域名都是访问不了,解析也被修改了。只能查询一些whois的信息和历史的解析。
我们来看看他们的whois把~
国内才比较好用的是主站之家whois可以查询邮箱和注册人,比较不错。
站长之家查询icloud-analysis.com
发现是GODADDY的数据,可以看到联系人:registration private这里是被保护起来了。
站长之家查询crash-analytics.com
注册人是这个人andy wang wang ,我们到GODADDY上面去查找一下。
godaddy whois查询
查找crash-analytics.com域名信息:

可以得到一个手机:13276422520
以及一个邮箱:778560441@qq.com
邮箱是比较有用的,因为XcodeGhost的作者使用这个邮箱注册了很多域名,我们可以找到一批域名。
我们还可以去看看qq群的信息。可以在一个挑战杯的群里找到他的群备注的济大周文洋。

有可能是济南大学的周文洋。
可以在这里查到一些泄漏过的群信息:qq群泄露
但是这里也不排除可能是一个伪造的,比如去盗取别人的帐号来利用,因为在其他网站上更加常见的是WANG LONG/LONG WANG这个名字。

还可以去看看这些历史的缓存的解析ip
whois缓存查询
做一些ip的关联,ip有一些是在godaddy上的vps服务器。

0×02 qq邮箱关联

用qq邮箱可以查询到XcodeGhost作者注册的域名。
whois邮箱查询
whois邮箱查询-站长之家

可以用这两个查询到一些域名。
这里面大致可以分为两类:新网域名和GODADDY域名

这是在新网注册的域名
2shoubang.com
bang2shou.com
madou360.com
91meiche.com
gu2shou.com
tiao2shou.com
kytr.pub

这些是在GODADDY上注册的
iostool.com
sdkdev.net
daimaku.net
allsdk.org
ioscode.org
sdkdev.org
iossdk.org

新网的域名里:
有一些留有青岛市的电话,但是都是一些混淆视听的电话,比如下面的:
0532-88996513 青岛崂山区教育体育局办公电话
0532-55580550 青岛中韩派出所电话

还有一些注册的公司地址:
山东省青岛市市南区海洋大厦21号
济南市世纪城
青岛市青岛一路

另一方面GODADDY注册的域名:
这一部分是用来做扩散用的,扩散被带入了后门的Xcode。他搭建了一些网站,设置成类似iOS论坛之类的来扩散后门。
比如说iossdk.org这个域名

就是一个被用来扩散Xcode的网站,通过查询google缓存可以发现。
谷歌页面缓存
可以在这里看到当时的html代码,是一个php版本的cms来传播他的Xcode。
有类似行为的还有这两个域名
iostool.com
Iossdk.org

0×03 社工库关联

经常能看到的WANG LONG/ LONG WANG
还有这个手机号13276422520
这个显示是山东青岛的中国联通手机。
REG007

在REG007上面可以查询到,那个审计是注册了挺多个网站的。

可以去社工库里跑跑13276422520。
最后听说可以在社工库里找到13276422520关联的另一个王龙在用的qq号473**@qq.com,可惜我的社工库太小,最后也没有找到,希望有裤子大一些的大牛跑跑13276422520这个。

0×04 总结

第一次尝试做威胁情报分析,感觉和社工很类似。
就是通过一些已知的信息去一步一步扒出更多的信息,最后慢慢补充成一个完整的网络,最后也是了解到了他各个域名的用处,还有身份的一些信息。

参考资料

[1] XcodeGhost威胁情报分析

#溯源取证
用 soot 生成安卓App的控制流 Day 1
从 Hacking Team 的泄露邮件来看 0day 市场的供应商