对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

admin 2024年5月23日14:55:22评论8 views字数 2487阅读8分17秒阅读模式
对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

在某起诈骗案件现场分析中,根据被害人提供的涉诈APP,大狗平台云真机操作台抓包得到了一个国内某厂商对象存储链接地址。技术人员对链接地址网络请求数据进行分析后,发现了该APP的服务器后台地址,从而锁定犯罪嫌疑人服务器,让案件侦破取得重大突破。

今天我们就来看看,如何通过对象存储SDK挖掘涉诈APP的服务器地址?

对象存储服务的作用
对象存储服务(Object Storage Service)是一种灵活、可扩展、高可靠的数据存储方式,适用于大规模数据存储、备份和归档等场景,为用户提供了高效、安全和可靠的数据存储解决方案。

涉诈APP为了规避法律和监管风险,应对主服务随时可能被封禁或者关闭的问题。通常会使用对象存储服务存放或加密存放APK主服务器的地址,以便在主服务器被封锁或关闭之后能够实时更换新的主服务器地址(图1)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!图1. 涉诈APP中的对象存储服务

分析过程

01
 识别对象存储SDK

在【无糖浏览器】-【应用中心】-【手机应用分析】工具中,上传需要分析的APK文件(图2)。自动化分析完成后,可以在APK专业报告的【SDK信息】栏查看APP是否使用了对象存储类型的SDK。如果有,则记录下关键链接,进行下一步操作(图3)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图2. 大狗平台-手机应用分析工具

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图3. 集成了对象存储类型SDK的APK

02
 查看网络请求和响应

在确认APP使用了对象存储类型的SDK后,我们就可以去【网络请求】中查看是否抓取到了关键链接的请求和响应内容。具体步骤为:在网络请求中找到对象存储SDK关键链接相关的网络请求(图4),进入请求详情中筛选状态码等于200的HTTP/HTTPS请求,查看请求内容和响应内容。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图4. 找到关键链接相关的网络请求

如果响应内容为明文,我们可以直接检查是否包含了服务地址信息(通常为IP地址或者域名)(图5);如果响应内容为密文,则需要对密文进行解密,得到明文之后再进行分析(图6)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图5.明文响应服务器地址

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图6. 密文响应服务器地址

注:对于自动化分析没有抓取到的对象存储SDK信息和网络请求,可以在云真机操作台中进行人工研判核查。详见《云真机操作台必看教程:手把手教学,轻松掌握技巧!》

03
 解密网络请求中的响应内容

如果APP向对象存储服务器请求返回的内容为为密文,我们就需要结合jadx、Frida脚本等工具对其进行解密。

例如,要解密图6所示的密文内容。我们使用jadx对APK进行反编译得到程序源代码之后,在jadx中搜索关键链接中的字符串,找到程序向对象存储服务器发送请求的源代码文件(图7)。分析代码可以发现当程序接收到请求返回的密文数据后会调用一个解密函数(图8),我们进入这个解密函数中查看。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图7. 在jadx中搜索关键链接字符串

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图8. 程序接收返回数据后调用解密函数

public static byte[] decryptYunceng(String content) throws Exception {
    byte[] byteMi = Base64.decode(content, 0);
    SecretKeySpec secretKeySpec = new SecretKeySpec("/********/".getBytes(), "AES");
    IvParameterSpec ivSpec = new IvParameterSpec("/*********/".getBytes());
    Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
    cipher.init(2, secretKeySpec, ivSpec);
    return cipher.doFinal(byteMi);
}
观察这个解密函数可以发现数据是被Base64编码后在进行了AES加密, 我们可以拿出它的KEY和IV值,到在线AES解密网站上进行解密(这里使用的在线网站为:https://gchq.github.io/CyberChef/)。解密之后就会发现,明文内容是向对象存储服务器请求的APP服务器地址信息(图9)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图9. 使用KEY和IV值在线解密

或者我们也可以右键这个解密函数,将它复制为Frida片段,然后使用Frida脚本调用解密函数,同样可以获得解密后的明文内容。

04
 获取服务器地址

当APP使用了对象存储服务类的SDK时,我们就可以对APP与对象存储服务器之间的网络请求和响应内容直接分析/解密之后进行分析。如果响应内容中包含新的URL(图5)或者IP地址(图9),那么我们就可以对服务器地址进行进一步分析和调证。例如:追踪服务器地址归属、调取服务器日志等。

成功获取APP后台服务器地址,能够在很大程度上提高涉诈案件的侦破率。大家都学会了吗~

视频教程

本篇文章配套的视频演示教程《涉诈APP服务器地址分析案例演示》已经上传至【无糖浏览器】-【知更实战训练场】-【学知识】模块。欢迎大家学习交流!

无糖浏览器PC端用户:可以在【无糖浏览器】应用中心 - 进入【知更实战训练场】- 点击【学知识】Table 标签 - 在【大狗平台系列教程】课程列表中,找到《涉诈APP服务器地址分析案例演示》进行观看(图10)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图10. 知更实战训练平台PC端 -

《涉诈APP服务器地址分析案例演示》

无糖浏览器手机端用户:可以在【无糖浏览器】APP主页 - 进入【知更靶场 · 课程推荐】- 在【大狗平台系列教程】列表中,找到《涉诈APP服务器地址分析案例演示》进行观看(图11)。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

图11. 知更实战训练平台手机端 -

《涉诈APP服务器地址分析案例演示》

无糖浏览器-您身边的办案助手

01

下载地址(PC端与APP同链接):

http://browser.nosugar.tech

02

邀请码:注册邀请码可从已认证通过的公安民警处获得,完成注册流程并审核通过可开通完整使用权限。

如有疑问,可以扫描下方二维码进入无糖反网络犯罪研究中心。

对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

原文始发于微信公众号(无糖反网络犯罪研究中心):对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月23日14:55:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!https://cn-sec.com/archives/2769775.html

发表评论

匿名网友 填写信息