在某起诈骗案件现场分析中,根据被害人提供的涉诈APP,大狗平台云真机操作台抓包得到了一个国内某厂商对象存储链接地址。技术人员对链接地址网络请求数据进行分析后,发现了该APP的服务器后台地址,从而锁定犯罪嫌疑人服务器,让案件侦破取得重大突破。
今天我们就来看看,如何通过对象存储SDK挖掘涉诈APP的服务器地址?
涉诈APP为了规避法律和监管风险,应对主服务随时可能被封禁或者关闭的问题。通常会使用对象存储服务存放或加密存放APK主服务器的地址,以便在主服务器被封锁或关闭之后能够实时更换新的主服务器地址(图1)。
图1. 涉诈APP中的对象存储服务
在【无糖浏览器】-【应用中心】-【手机应用分析】工具中,上传需要分析的APK文件(图2)。自动化分析完成后,可以在APK专业报告的【SDK信息】栏查看APP是否使用了对象存储类型的SDK。如果有,则记录下关键链接,进行下一步操作(图3)。
图2. 大狗平台-手机应用分析工具
图3. 集成了对象存储类型SDK的APK
在确认APP使用了对象存储类型的SDK后,我们就可以去【网络请求】中查看是否抓取到了关键链接的请求和响应内容。具体步骤为:在网络请求中找到对象存储SDK关键链接相关的网络请求(图4),进入请求详情中筛选状态码等于200的HTTP/HTTPS请求,查看请求内容和响应内容。
图4. 找到关键链接相关的网络请求
如果响应内容为明文,我们可以直接检查是否包含了服务地址信息(通常为IP地址或者域名)(图5);如果响应内容为密文,则需要对密文进行解密,得到明文之后再进行分析(图6)。
图5.明文响应服务器地址
图6. 密文响应服务器地址
注:对于自动化分析没有抓取到的对象存储SDK信息和网络请求,可以在云真机操作台中进行人工研判核查。详见《云真机操作台必看教程:手把手教学,轻松掌握技巧!》
如果APP向对象存储服务器请求返回的内容为为密文,我们就需要结合jadx、Frida脚本等工具对其进行解密。
例如,要解密图6所示的密文内容。我们使用jadx对APK进行反编译得到程序源代码之后,在jadx中搜索关键链接中的字符串,找到程序向对象存储服务器发送请求的源代码文件(图7)。分析代码可以发现当程序接收到请求返回的密文数据后会调用一个解密函数(图8),我们进入这个解密函数中查看。
图7. 在jadx中搜索关键链接字符串
图8. 程序接收返回数据后调用解密函数
public static byte[] decryptYunceng(String content) throws Exception {
byte[] byteMi = Base64.decode(content, 0);
SecretKeySpec secretKeySpec = new SecretKeySpec("/********/".getBytes(), "AES");
IvParameterSpec ivSpec = new IvParameterSpec("/*********/".getBytes());
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(2, secretKeySpec, ivSpec);
return cipher.doFinal(byteMi);
}
图9. 使用KEY和IV值在线解密
或者我们也可以右键这个解密函数,将它复制为Frida片段,然后使用Frida脚本调用解密函数,同样可以获得解密后的明文内容。
当APP使用了对象存储服务类的SDK时,我们就可以对APP与对象存储服务器之间的网络请求和响应内容直接分析/解密之后进行分析。如果响应内容中包含新的URL(图5)或者IP地址(图9),那么我们就可以对服务器地址进行进一步分析和调证。例如:追踪服务器地址归属、调取服务器日志等。
成功获取APP后台服务器地址,能够在很大程度上提高涉诈案件的侦破率。大家都学会了吗~
本篇文章配套的视频演示教程《涉诈APP服务器地址分析案例演示》已经上传至【无糖浏览器】-【知更实战训练场】-【学知识】模块。欢迎大家学习交流!
无糖浏览器PC端用户:可以在【无糖浏览器】应用中心 - 进入【知更实战训练场】- 点击【学知识】Table 标签 - 在【大狗平台系列教程】课程列表中,找到《涉诈APP服务器地址分析案例演示》进行观看(图10)。
图10. 知更实战训练平台PC端 -
《涉诈APP服务器地址分析案例演示》
图11. 知更实战训练平台手机端 -
《涉诈APP服务器地址分析案例演示》
无糖浏览器-您身边的办案助手
下载地址(PC端与APP同链接):
http://browser.nosugar.tech
邀请码:注册邀请码可从已认证通过的公安民警处获得,完成注册流程并审核通过可开通完整使用权限。
如有疑问,可以扫描下方二维码进入无糖反网络犯罪研究中心。
原文始发于微信公众号(无糖反网络犯罪研究中心):对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论