事件到底是什么样的 完整的XCodeGhost 幽灵入侵 (事件到底是什么)
【编者按】本文来自腾讯安全应急中心,作者Gmxp。
前言
这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。
由于行文仓促,难免有诸多错漏之处,还望同行批评指正。
事件溯源
事情要追溯到一周前。
9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。
9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。
9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。
9月16日,我们发现Appstore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。
9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。
接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。
被遗漏的样本行为分析
1)在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器
上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。
上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未使用的域名。
(上传机器数据的恶意代码片段)
2)黑客可以下发伪协议命令在受感染的iPhone中执行
黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。
相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!
(控制执行伪协议指令的恶意代码片段)
3)黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口
和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?
(控制远程弹窗的恶意代码片段)
4)远程控制模块协议存在漏洞,可被中间人攻击
在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。
(存在安全漏洞的协议解密代码片段)
值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。
感染途径
分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。
我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。
(被感染恶意代码的xcode包路径)
原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。
通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。
(XCodeGhost作者在知名论坛上发布xcode的下载帖)
进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他们的XCodeGHost,还真的做到了幽灵一样的存在。
影响到底多大?
在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不只一个两个APP,于是我们马上对AppStore上的APP进行检测。
后记
经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。
经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到——
总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。
原创文章,未经授权禁止转载。详情见 转载须知 。
KK直播是一个聚集高颜值才艺达人、网红主播的视频直播交友平台。这里有24小时精彩不间断的女神直播、才艺直播、户外直播、派对交友、情感陪伴、游戏陪玩,随时随地与美女帅哥零距离接触!
神州专车-接送机,预约用车,企业用车,专人专车,随叫随到。全程服务过G20、全球互联网大会等国际会议,3000万品质人士的出行首选。客服热线:10101111
绿盾征信是央行备案的企业信用查询工具,提供最全最新的企业信息实时查询,企业相关的工商信息查询,股东查询,主要成员查询,变更记录查询,网站备案查询,对外投资查询,分支机构查询,企业年报查询,风险信息查询,市场反馈查询,失信被执行人查询;提供全国企业登记信息,企业信用查询,企业诉讼查询,商标查询和专利查询。查询企业信息就到绿盾征信官网!
青岛海伦达国际贸易有限公司是一家享有进出口经营权的股份制外贸进出口公司,专业从事进出口贸易和技术服务。主营阻燃吸声系列产品、各种装饰用布、阻燃帘幕和其它建筑声学材料等,产品出口九十多个国家和地区,主要应用于影剧院、会堂、娱乐中心、体育场所等建筑声学场所。服务内容包括各类建筑声学产品和装饰纺织品的创新、设计和产品开发,以及深化设计方面的技术咨询和安装服务等。公司具有丰富的专业产品和国际贸易经验、先进的管理水平、专业的人才队伍,能够为国内外的采购商、建筑装饰企业提供优质的产品和良好的服务。
陕西本道传媒深耕工程领域20余年,其业务地域广袤,内容包含西安标识标牌设计、安全文明标准化工地、西安企业文化建设和西安智慧工地建设等,为中国中铁、中国铁建、中国石油、陕西交控等工程企业客户提供文化建设服务。
池海浮标
,大连专业微信公众号代运营、网络营销、网络媒体发布、网络传媒公司。
湘潭市律师协会成立于1996年,2008年成立湘潭市律协党委,2018年变更为湘潭市律师行业党委。截止2020年12月,共有个人会员630名,团体会员38家,基层党组织26个(其中联合支部2个),党员160名,湘潭市律师协会至今已历7届,本届理事会由31名
电动汽车网为您提供电动汽车新闻报价,新能源汽车图片,纯电动汽车价格大全,混动汽车头条,精彩的电动汽车快讯、智能汽车、新车上市、试驾评测、导购内容,了解新能源汽车,就来电动汽车网。
阜阳在线(阜阳在线)-发现本地美食、咖啡、购物、酒吧、书店、桌游等吃喝玩乐高品质店铺,邂逅品味相投的人,生活不将就。
淮南正邦苏咔餐饮管理有限公司
东莞市常乾电力调整器厂家专注SCR可控硅调功器研发制造,功率控制器,电力调整器报价就选常乾CQNE。输入类型多样,100%线性输出,双重过流保护,带有MODBUSRTU通讯功能。主要用与工业电炉电加热控制和温控机械设备电加热控制,咨询热线:15118091553
自2012年优贝乐国际儿童教育中心正式启动全国加盟连锁业务以来,优贝乐凭借合格的口碑、成功的推广和先进的理念,在前期声誉积累的基础上,加盟校区如雨后春笋般签单和开业!2017年6月,位于山西太原万柏林区迎来了一位带着满满教育情怀的智慧之选人——杜秀玲女士,该校目前已在总部运营的指导下,正在紧张的进行校区装修、市场推广、招聘培训等工作筹...。
火锅系列的饮食风味在持续的升级中,产业的经营热度不错,山城防空洞火锅匠心打造的餐饮品牌,经过三代的传承,融入创意的经营理念,打造风味系列的产品,门店呈现出了持续经营且畅销的现象,互联网思维的影响下,壮大了红火运营热度,那么山城防空洞火锅加盟流程是什么,宣传和选址有扶持吗,山城防空洞火锅加盟流程是什么创始于二零零八年,作为一家专业从事连...。
在谈到穿戴设备之未来的相关文章中,很多人都给出了其将被广泛利用于医学、科研等专业领域中的,规划,,我们也总是能够看到关于谷歌眼镜被应用于临床治疗、智能手环帮助运动人士监测心率数据这些穿戴行业内的,正能量,,但殊不知,就连如今被看作是穿戴设备入门级功能的计步监测,也已经被证实并不可信,近日,宾夕法尼亚大学的科学家邀请14名志愿者参与测试...。
2021年12月9日,第六届全球人工智能与机器人大会,GAIR2021,在深圳正式启幕,140余位产学领袖、30位Fellow聚首,从AI技术、产品、行业、人文、组织等维度切入,以理性分析与感性洞察为轴,共同攀登人工智能与数字化的浪潮之巅,会上,IEEE,IET,EICFellow于非教授向与大家分享了题为,互联,从质量、能源、信息到...。
药房现在是一个很火的行业,因为在很多大医院里,他们的药因为有提成,会贵一点,而且一买药就要去医院是一件很麻烦的事情,所以药房现在越来越火,而且药店不仅仅卖药,还卖保健品,涉猎的范围也会很广,那么重庆药房加盟怎么样呢?那当然是不错的了,拒不完全统计重庆药房一年的收入高达30万,这收入已经非常可以了,药房是现在人们离不开的必备品,在医院的...。
自己是新疆阿勒泰地域哈巴河县的一名教员,因咱们本地这边没有布置个别话考试的要素,咨询了曼且思教育的叶教员,提交了8名教员的信息和费用,其中的4位教员没人交了779元,,个别话考试380元,教员资历考试399元,总共,3116元,,剩下的4名教员每位教员交了380元的个别话考试的费用,总共,1520元,,然而2020年5月26号报名后...。
济南的网约车有滴滴,T3出行,花小猪,哈罗,万顺打车,呼我出行,曹操专车,网约车,即网络预定出租汽车运营服务的简称,是指以互联网技术为附丽构建服务平台,接入合乎条件的车辆和驾驶员,经过整合供需消息,提供非巡游的预定出租汽车服务的运营优惠,2016年5月31日,教育部、国度语委在京颁布,中国言语生存状况报告,2016,,,网约车,中选...。
飞驰C200参数飞驰C200是一款奢侈轿车,它有多个车型在售,其中包含2020款C200L动感型静止版、2020款C200L时兴型和2020款C200L时兴型静止版,这三款车型的官网指点价区分为30.78万元、31.58万元和31.58万元,长轴版车型的车身尺寸为4784x1810x1457mm,轴距为2920mm,而标轴版车型的车身...。
1、下载车厂的APP1请在手机高低载车厂APP例如宝马为BMW云端互联,并在汽车厂商客服人员或4S店上班人员的指点下申请并激活车钥匙2在手机上关上设置,点击设施衔接NFC,关上NFC,并设置触碰运行为车厂APP3;元,上市350元,押金落地约万元总的来说,新BMW530Li各方面都很低劣,外观;首先必需的回答,宝马五系530li是十分...。
长安欧尚X52021款是一款定位为紧凑型SUV的车型,其官网指点多少钱范畴在元至元<,之间,其中,车船经常使用税为350元<,,而交强险费用为950元<,,使得总的落地价大概为元<,左右,这款车型的前脸设计极具时兴感,驳回了多边形格栅设计<,,削减了剧烈的动感元素,以其中的改款6L手动...。
我的小宇宙修改器是该同名游戏的一款修改工具,具有无限健康、一击毙命、经验翻倍、伤害翻倍等修改功能,使用后可以帮助玩家快速升级游戏任务。
如果你发现自己的外卖被偷了以下是一些正确的解决方式方法步骤确认是否是误送首先要确认外卖是否被误送到邻居家或者快递员是否把外卖送到了错误的地址如果是这种情况可以联系外卖平台客服协商解决联系外卖平台客服如果确认外卖被偷了可以及时联系外卖平台客服向他们反映情况提供订单信息和配送记录等信息并要求平台进行赔偿或重新配送保留证据可...
苹果公司的一些服务基于亚马逊的AWS服务云计算的市场从来都不缺乏竞争者,但亚马逊云计算服务,AWS,的领先地位一直无人撼动,一度成为亚马逊公司盈利最丰厚的业务,即使是同样身为科技巨头的苹果公司也不得不依赖AWS,苹果依赖亚马逊,两者亦敌亦友据CNBC报道,苹果和亚马逊之间的关系甚是微妙,竞争归竞争,合作归合作,有知情人士透露,苹果每个...。
文字链接认证代码普通联盟标志认证代码企业广告联盟标志认证代码广告联盟评测代码说明,本页面的认证代码为羽翼广告联盟专用评测代码,站长需懂简单html知识,直接复制代码粘贴到联盟网站相应页面即可使用,本代码不适用于其他广告联盟网站请勿获取!文字认证,文字链接代码认证适用所有类型的广告联盟,复制代码后放在羽翼广告联盟网站首页底部或友情链接位...。
未来学家已经开始预言人工智能,AI,崛起反抗人类的黑暗未来,但是,人工智能和机器人不是同一回事,人工智能软件已经进入了我们生活的方方面面,例如电脑游戏等等,在线学习领域中,人工智能也可以设计出能够分析自身环境、做出,聪明,选择的智能软件,到底,人工智能会如何改变未来的在线学习,想一想可以打败大师的围棋软件,你就知道人工智能有多大的潜力...。
发表在索尼投影仪2018,12,3021,13现今LED电视尺寸已去到七八十吋,有必要使用投影机吗,其实这个问题在用家之间一直争论不休,单单是画质,他们随口都能找出十数个争拗点辩论一整天,不过,对于钟情投影机的用家来说,由于投影机的画面锐利度及颜色鲜艳度相对于LED电视略低,长时间观看会较为舒服,同时观看的环境亦较为接近戏院,以上都是...。
发表在其它家用投影仪品牌2023,8,309,23微米M10是一款相对轻薄的投影仪,内置智能系统,拥有不错的配置,具体微米M10投影仪怎么样呢,下面就通过详细的参数配置来了解微米M10投影仪,看看微米M10有什么优缺点,实际家用效果究竟如何,微米M10投影仪怎么样,1.光学参数在亮度方面,微米M10的实际亮度达到1100ANSI流明,...。
