f**o
发帖数: 12685 | 1 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件
博文作者:Gmxp
发布日期:2015-09-19
阅读次数:63256
博文内容:
【前言】
这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力
,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜
读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补
充下完整的XCodeGhost事件。
由于行文仓促,难免有诸多错漏之处,还望同行批评指正。
【事件溯源】
不久前,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发
送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过加班加点的分析
和追查,我们基本还原了感染方式、病毒行为、影响面。
随后,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即上报了
CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风
险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。
接到我们上报信息后,CNCERT发布了这个事件的预警公告。我们也更新了移动APP
安全检测系统“金刚”。
图1 CNCERT发布的预警公告
9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方
及大部分受影响的厂商同步了这一情况。
9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析
报告。
接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安
全团队和专家进行了深入分析,爆出了更多信息。
【被遗漏的样本行为分析】
1)在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器
上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等
设备信息,能精准的区分每一台iOS设备。
上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未
使用的域名。
图2 上传机器数据的恶意代码片段
2)黑客可以下发伪协议命令在受感染的iPhone中执行
黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随
时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。
相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不
仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可
以操作具备伪协议能力的大量第三方APP。
图3 控制执行伪协议指令的恶意代码片段
3)黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口
和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机
器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能
够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书
APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS
)吗?
图4 控制远程弹窗的恶意代码片段
4)远程控制模块协议存在漏洞,可被中间人攻击
在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被
轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手
机,成为这些肉鸡的新主人。
图5 存在安全漏洞的协议解密代码片段
值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公
开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身
还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的
低估了。
【感染途径】
分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore
下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集
中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。
我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms
/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/
下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的
xcode安装包,却不存在这些目录和“系统组件”。
图6 被感染恶意代码的xcode包路径
原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改
xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac
)中。
水落石出了,罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。
通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余
的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种
开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团
队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意
的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。
图7 XCodeGhost作者在知名论坛上发布xcode的下载帖
进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他
们的XCodeGHost,还真的做到了幽灵一样的存在。
【影响面】
在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不
只一个两个APP,于是我们马上对AppStore上的APP进行检测。
最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其
中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计
,受这次事件影响的用户数超过一亿。
【后记】
经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1
双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。
经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到,黑产从业者早已不
是单兵作战的脚本小子,而是能力全面的黑客团队。
总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。
余生请你指教720(新手上路)2015-09-19 12:39:45
那你解释一下贵司为毛不在官网下Xcode,导致微信被感染
龙BDB(新手上路)2015-09-19 12:47:55
这给所有人提了一个醒.网络还是没那么安全的...
defender1(安全助理)2015-09-19 12:49:32
楼上说不用官方的,即使你是官方的地址,只要用了迅雷之类的下载软件下载下来的也
是带后门的,不信你试试~
如歌XD(新手上路)2015-09-19 13:32:16
各位码农平时下电影下游戏用迅雷网盘享受那速度习惯了,工作生活不分开,这下中招
了吧。正规下xcode就该从mac app store下,速度慢就让公司想办法解决嘛。
星*期六E68(新手上路)2015-09-19 13:32:51
至始至终,文章没有解释,微信被感染的那个版本是什么原因???
小K同学8C3(新手上路)2015-09-19 14:03:40
道理我都懂,但是贵司的微信怎么也中招了?
hmdays-86D(新手上路)2015-09-19 15:55:16
这次的xcode行为很显然是受到背后大的营销广告公司的团队在运作,通过植入代码到
xcode感染其编译的所有app植入广告入口.之后随时都可以指定广告洪水的爆发时间点.
这种行为很恶心,同时也告诫我们,营销的最高层次就是控制程序员入口,请各位程序员
谨慎对待.
F。7F0(新手上路)2015-09-19 16:57:45
所以是日了狗了你们有权利监测我们其他APP的后台? |
f**o
发帖数: 12685 | 2 这个中国黑客绝壁是CIA的走狗,抓起来好好审,让他在CCAV 承认是反华势力指使,判
十年! |
n*****8
发帖数: 19630 | |
f**o
发帖数: 12685 | 4 青岛网警破获XcodeGhost案 嫌疑人毕业于山科大 XcodeGhost制造者的确为多人,其中
一名余姓主要嫌疑人曾就读于位于青岛的山东科技大学,目前已经毕业,在青岛创办了
一家科技公司。据悉,此人已经被青岛网警控制,具体案情正在调查中。 |
f**o
发帖数: 12685 | 5 信网9月25日讯 上周末,多家网络安全公司曝光了苹果设备“XcodeGhost”的安全事件
,病毒制造者通过感染苹果应用程序开发工具Xcode,让AppStore中的正版应用带上了
会上传信息的恶意程序。据估算,受到影响的用户数量会超过一亿。事件爆发后,自称
是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author发了一封道歉信,称
XcodeGhost源于自己的实验,没有任何威胁性行为。
信网qdxin.cn此前在多个渠道获得信息,病毒制造者并非一个人,其中一名主要成员曾
是国内某名校的保送研究生,不过已经退学。9月25日,信网qdxin.cn独家从权威渠道
获悉,XcodeGhost制造者的确为多人,其中一名余姓主要嫌疑人曾就读于位于青岛的山
东科技大学,目前已经毕业,在青岛创办了一家科技公司。据悉,此人已经被青岛网警
控制,具体案情正在调查中。
信网qdxin.cn了解到,此前有网络安全公司表示,已经通过技术手段基本锁定病毒制造
者的身份,并且已经报警。苹果公司也在其中国官网表示,已将由XcodeGhost盗版软件
开发的app从App Store中撤了下来,并拦截了通过该恶意软件开发的新app进入App
Store。
背景材料:苹果XcodeGhost事件
Xcode为苹果公司提供的程序编写软件,用于开发苹果应用程序(苹果APP)。近日爆出开
发者在通过一些非苹果公司官方渠道下载的Xcode工具开发苹果APP时,会向正常的苹果
APP中植入恶意代码,被植入恶意代码的苹果APP可以在App Store正常下载并安装使用
,导致用户隐私泄露,微信、滴滴打车、百度音乐、58同城、网易云音乐等350余款APP
被感染,这被称为XcodeGhost事件。这一事件也打破了原本被认为安全性很高的苹果
iOS系统的金身。 |
M****u
发帖数: 17708 | 6 山东?那一定是蓝翔的背景
【在 f**o 的大作中提到】
: 青岛网警破获XcodeGhost案 嫌疑人毕业于山科大 XcodeGhost制造者的确为多人,其中
: 一名余姓主要嫌疑人曾就读于位于青岛的山东科技大学,目前已经毕业,在青岛创办了
: 一家科技公司。据悉,此人已经被青岛网警控制,具体案情正在调查中。
|
b********6
发帖数: 35437 | |
n*****8
发帖数: 19630 | 8 所以排队买iphone的都是傻逼。
我要是看见谁在我面前掏出一个iphone, 我马上对这个脑残鄙视一次。
:) |
l*****i
发帖数: 20533 | 9 这是否也算中国组织黑客窃取美国互联网信息的罪证之一? |
f**o
发帖数: 12685 | 10 靠!
应该是美国组织黑客窃取中国互联网信息的罪证!
【在 l*****i 的大作中提到】
: 这是否也算中国组织黑客窃取美国互联网信息的罪证之一?
|
g******l
发帖数: 5103 | 11 苹果这是此地无银三百两
【在 f**o 的大作中提到】
: 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件
: 博文作者:Gmxp
: 发布日期:2015-09-19
: 阅读次数:63256
: 博文内容:
: 【前言】
: 这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力
: ,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜
: 读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补
: 充下完整的XCodeGhost事件。
|
f**o
发帖数: 12685 | 12 应该不会是苹果
【在 g******l 的大作中提到】
: 苹果这是此地无银三百两
|
f**o
发帖数: 12685 | 13 应该不会是苹果
【在 g******l 的大作中提到】
: 苹果这是此地无银三百两
|
