首页 > 评论 > 关键词 > XcodeGhost病毒最新资讯 > 正文

幽灵入侵,完整的XCodeGhost 事件到底是什么样的?

2015-09-21 10:51 · 稿源:雷锋网
文章目录

前言

这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。

由于行文仓促,难免有诸多错漏之处,还望同行批评指正。

事件溯源

事情要追溯到一周前。

9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。

9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

(CNCERT发布的预警公告)

9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。

接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。

被遗漏的样本行为分析

1)在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未使用的域名。

(上传机器数据的恶意代码片段)

2)黑客可以下发伪协议命令在受感染的iPhone中执行

黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

(控制执行伪协议指令的恶意代码片段)

3)黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

(控制远程弹窗的恶意代码片段) 

4)远程控制模块协议存在漏洞,可被中间人攻击

在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。

(存在安全漏洞的协议解密代码片段) 

值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

感染途径

分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。

我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。

(被感染恶意代码的xcode包路径) 

原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。

水落石出了,罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。

通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。

(XCodeGhost作者在知名论坛上发布xcode的下载帖) 

进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他们的XCodeGHost,还真的做到了幽灵一样的存在。

影响到底多大?

在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不只一个两个APP,于是我们马上对AppStore上的APP进行检测。

最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿。

后记

经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。

经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到——

黑产从业者早已不是单兵作战的脚本小子,而是能力全面的黑客团队。

总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。

【注】本文来自腾讯安全应急中心,作者Gmxp。

 

  • 相关推荐
  • 大家在看
  • Filecoin上线在即,OKEx存储板块接棒DeFi引领新热点

    被热炒了 4 个多月的DeFi,相较于此前近乎直线的增长态势,终于还是放缓了脚步。DeFi进入冷静期后,Filecoin带动的存储板块概念却已经悄悄开始表演。9 月 28 日,受Filecoin主网即将上线的利好消息影响,存储板块集体上涨。STORJ单日上涨14.51%,LAMB上涨8.04%,SC上涨3.68%......而近日,随着Filecoin主网上线日子的临近,存储项目的呼声也是愈发高涨。等待 3 年,Filecoin终于要上线了定位是存储板块龙头级别的Filecoin,在多次?

  • Egregor勒索软件背后的攻击者泄露了据称来自于Ubisoft 公司的数据

    ​Egregor勒索软件背后的攻击者攻击了游戏开发团队Crytek,并泄露了大量据称窃取自育碧娱乐软件公司(Ubisoft)文件系统中的数据。

  • ​腾讯回应上线WeCom;广州拟立法反餐饮浪费;首批18款App获颁安全认证

    近日,针对“腾讯将WeChat改名为WeCom”的报道,腾讯公司表示:WeCom 是企业微信的海外版,是基于组织和企业的内外部沟通管理工具,和 WeChat 是完全不同的产品。

  • ORANGE CUBE上海时装周之旅最后一站,联合Leaf Xia colorwonderland重构伊甸之美

    ORANGE CUBE联合国内知名设计师品牌Leaf Xia colorwonderland,于 10 月 11 日 14 时 30 分,在上海时装周新天地会场成功举办SS21 春夏系列“自由的形状”发布秀,众多明星、博主、时尚媒体朋友等时尚行业人士受邀来到现场。本次大秀主题为“The Shapes of Freedom(自由的形状)”,Leaf Xia colorwonderland以理想中的伊甸园为背景,将以早晨、傍晚、深夜设为一个循环,隐喻生命的轮回。时间循环往复,而风景日新月异,Leaf Xia

  • DeFi步入2.0,OKEx打造“CeFi+DeFi”复合型挖矿

    6月以来,DeFi如一把燎原之火点燃了整个数字货币市场,动辄500%、2000%,甚至10000%以上的流动性挖矿年化收益掀起了圈内一场投机狂欢。新老项目轮番登台,迫切地向众人描绘着DeFi——那个能为任何人提供一个更平等、更透明、更开放的金融世界。但随着DeFi生态的日益壮大,劣质仿盘增多,项目未经审计的bug频出,再加上创始人恶意抛售代币,提前预支利好等情况,导致DeFi泡沫愈发严重,很多项目从开盘到归零,快则几小时,慢则2、3?

  • 特斯拉Model S Plaid性能续航怎样 Model S Plaid参数配置介绍

    特斯拉在美国当地时间9月22日“电池日”公布了一款升级的车型Model S Plaid,这是在Model S的基础上改进的一款车型,百公里加速不到2.1秒,最高时速超过300公里/小时,性能将十分强劲,以下我们来看下Model S Plaid的参数信息。

  • Model S/X同款配置!新款特斯拉Model 3曝光:双层玻璃+电动尾门

    作为当前国内新能源汽车市场的销量王,特斯拉Model 3的一举一动自然备受关注。前不久,国产Model 3直降4.2万至25万元内引起了网友的热议。近日,我们于外媒处获得了新款Model 3的部分信息。该

  • dell商务本走心不掉线,Latitude 7410小巧更智能

    dell商务本一直以来都为商务精英人士提供优质的办公选择,随着移动化办公的逐渐普及,商务人士对笔记本电脑的要求也越来越趋向轻便化与智能化,一台便携又高效的笔记本电脑,才更值得选择。戴尔Latitude 7410,以其小巧、智能稳中求胜,成为大多数人推介的商务本。dell商务本Latitude 7410,以轻薄定义小巧当代笔记本电脑都以变得更轻薄为己任,dell商务本Latitude 7410,正面高度18.13 毫米 ,背面高度19.33 毫米,起始重量仅1.3

  • 世卫组织:瑞德西韦对新冠病毒几乎没效果

    新冠病毒在全球感染了4000万人了,目前全球的重症及死亡率已经下降了,但还是没有特效药,治疗手段有限,一度被视为人民希望的瑞德西韦也不行,世界卫生组织正式宣布它几乎没什么效果。世卫组

  • Chrome 87 Beta加速放弃FTP 改进Cookie存储API

    继上周发布Chrome86之后,谷歌也同步上线了Chrome87Beta。考虑到视频会议应用的蓬勃发展,该公司为Chrome87Beta引入了新的界面,支持通过媒体控件来固定、旋转和放大摄像头画面。不过只有在获得用户的授权之后,网站才能启用这些功能。

  • 2U双GPU,亿玖EG202-12AH满足多领域需求

    最近什么最火?当然是IPFS! IPFS,中文名称叫星际文件系统,主要注重三个方面:计算、传输和储存。这就要求服务器不但要有强大的计算能力,超高的传输速度,还必须有大容量的储存池。 针对此应用,亿时空推出EG202-12AH服务器,主要配置如下: 型号就可以看出来,此款服务器主要是应用于GPU计算、大容量储存。在2U的空间里,可以安装 2 张GPU计算单元, 12 个HOT-swap 储存盘位。同时板载 2 个M. 2 硬盘接口, 16 个内存插槽最大

  • 腾讯回应上线WeCom:WeCom和WeChat是不同产品

    近日,针对“腾讯将WeChat改名为WeCom”的报道,腾讯公司表示:WeCom是企业微信的海外版,是基于组织和企业的内外部沟通管理工具,和 WeChat 是完全不同的产品。

  • 钟南山:白云山复方板蓝根对新冠病毒有效 不会乱讲

    10月13日,在白云山板蓝根澳门转化研讨会暨合作签约仪式上,钟南山透露,其研究团队开展一系列体外研究发现,白云山复方板蓝根对新冠病毒有效。他称说话都有根据,不会乱讲。经过十多年的联合

  • 案例系列 | 基于华为应用市场AppGallery Connect服务的实战解析

    导语:近年来,随着小程序、快应用的崛起,移动应用的增长成为热点话题。移动互联网的下半场已经不能依靠简单粗暴的红利,更需要生态、技术和服务。本文结合真实案例,解析华为应用市场AppGallery Connect服务如何助力移动应用的开发和运营。首先我们了解下AppGallery Connect一站式服务平台的整体情况。在 2020 华为开发者大会上,华为消费者业务云服务总裁张平安发表题为《HMS新沃土 让我们一起共舞》的主题演讲中介绍,AppGaller

  • 区块链游戏的DeFi玩法

    LaNd是一家区块链游戏平台,已经获得共识资本、智链资本和分布资本合计 3000 万美元的天使轮投资,目前LaNd已成功推出 3 款区块链游戏,并积累了数百万真实用户。DeFi是去中心化金融(Decentralized Finance)的简称,其通过去中心化提供了金融最需要的信任,DeFi目前已成为区块链投资领域的核心主题,代表项目YFI短短 42 天之内上涨 1 万倍,成为今年首个万倍币,也是整个区块链历史上用时最短的万倍币。LaNd的使命,是通过区块链让

  • OKEx Research: NFT能否扶DeFi大厦之将倾

    进入9月以来,由流动性挖矿引发的DeFi热潮开始逐渐降温,尽管期间有Uniswap开启流动性挖矿,但也难改DeFi市场的整体颓势。然而近期,NFT领域的多个币种开始爆发,特别是MEME代币在一周内上涨了近15倍,成功引起了市场的关注,风头甚至盖过Uniswap。很多人惊呼:NFT将是下一个投资风口。那么什么是NFT?NFT能否一改DeFi的颓势,扶DeFi大厦之将倾?1.什么是NFT想要理解什么是NFT,需要了解目前行业里中几种代币开发的标准。我们都知?

  • 苹果新设备客户可享三个月的Apple Arcade访问权限

    MacRumors报道称,购买新款iPhone、iPad、iPodtouch、AppleTV或Mac设备的苹果客户,将有资格获赠为期三个月的AppleArcade访问权限。作为苹果力推的一项游戏服务,该平台目前已有百余款无需额外付费、且没有应用内购买选项的游戏资源。通常情况下,这项服务的月费为4.99美元(约34RMB)。

  • IPU设计商Graphcore启动全球合作伙伴计划 浪潮等已加盟

    9月23日消息,Graphcore宣布推出精英合作伙伴计划,该计划是汇集渠道合作伙伴的全球网络,旨在满足客户对Graphcore两大解决方案的需求,包括AI计算平台IPU-M2000以及用于横向扩展和超级计算规模的IPU-POD。据介绍,Graphcore精英合作伙伴计划包括许多全球知名渠道伙伴、技术分销商和转售商,该计划将支持Graphcore最新的IPU-Machine: M2000 (IPU-M2000)向全球范围内的客户供货。目前Graphcore发布的合作伙伴名单包括:

  • 钟南山力挺 白云山回应板蓝根对新冠病毒有效:体外试验结果

    今年早些时候,新冠病毒爆发的时候,有研究团队称双黄连对治疗新冠病毒有效。今天钟南山院士又表态白云山复方板蓝根对新冠病毒有效。钟南山表示,说话都有根据,不会乱讲。经过十多年的联合攻

  • 美国居民采购万圣节面具防病毒 疾控中心:没用

    11月1日将迎来西方的万圣节,但因为疫情缘故,今年的节日氛围恐怕难有往年那样浓厚。据外媒报道,日前美国疾控中心发出紧急提醒,告诫那些正积极采购万圣节面具的居民,这些面具对于预防病毒传

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签