事件到底是什么样的 完整的XCodeGhost 幽灵入侵 (事件到底是什么)

文章编号:40379 资讯动态 2024-12-03 苹果XCodeGhost安全

【编者按】本文来自腾讯安全应急中心,作者Gmxp。

入侵,完整的XCodeGhost 事件到底是什么样的?iPhone.com/uploads/new/article/740_740/201509/55fcdce9935df.jpg" src="http://www.gpxz.com/zdmsl_image/article/20241203175949_18315.jpg" loading="lazy">

前言

这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。

由于行文仓促,难免有诸多错漏之处,还望同行批评指正。

事件溯源

事情要追溯到一周前。

9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。

9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

入侵,完整的XCodeGhost 事件到底是什么样的?

9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。

接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。

被遗漏的样本行为分析

1)在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未使用的域名。

入侵,完整的XCodeGhost 事件到底是什么样的?

(上传机器数据的恶意代码片段)

2)黑客可以下发伪协议命令在受感染的iPhone中执行

黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

入侵,完整的XCodeGhost 事件到底是什么样的?

(控制执行伪协议指令的恶意代码片段)

3)黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

入侵,完整的XCodeGhost 事件到底是什么样的?

(控制远程弹窗的恶意代码片段)

4)远程控制模块协议存在漏洞,可被中间人攻击

在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。

入侵,完整的XCodeGhost 事件到底是什么样的?

(存在安全漏洞的协议解密代码片段)

值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

感染途径

分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。

我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/PlatForms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。

入侵,完整的XCodeGhost 事件到底是什么样的?

(被感染恶意代码的xcode包路径)

原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。

通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。

入侵,完整的XCodeGhost 事件到底是什么样的?

(XCodeGhost作者在知名论坛上发布xcode的下载帖)

进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他们的XCodeGHost,还真的做到了幽灵一样的存在。

影响到底多大?

在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不只一个两个APP,于是我们马上对AppStore上的APP进行检测。

后记

经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。

经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到——

总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。

原创文章,未经授权禁止转载。详情见 转载须知 。

入侵,完整的XCodeGhost 事件到底是什么样的?

全局中部横幅
黑猫投诉

黑猫投诉平台是新浪旗下消费者投诉平台,快速解决315消费投诉,315投诉维权,共享服务投诉,购物平台投诉,旅游出行投诉,住宿投诉,娱乐生活投诉,教育培训投诉,金融支付投诉等,拥有海量企业库,各领域专家,专业律师团队及权威帮帮团来帮助消费者。

深圳市阳光博睿教育技术有限公司

深圳市阳光博睿教育技术有限公司,是国内领先的移动数据技术提供商深圳市梦网科技发展有限公司的全资子公司

百家号

百家号,是百度为创作者打造的集创作、发布、变现于一体的内容创作平台,也是众多企业号实现营销转化的运营新阵地。

汝南县建工职业培训学校

汝南建工职业培训学校官网欢迎你的光临

蓝网美食网

美食,顾名思义就是美味的食物,贵的有山珍海味,便宜的有街边小吃。其实美食是不分贵贱的,只要是自己喜欢的,都可以称之为美食。

宜昌PVC排水管厂家

湖北联塑宜昌代理商(湖北冠页科技有限公司,电话13997666660)是联塑管道与汉塑管业在宜昌的总经销,主营产品:PVC管、PVC排水管、PE管、HDPE双壁波纹管等,价格实惠,欢迎选购。

「热油泵」常州导热油

常州市常能导热油有限公司专业生产热油泵,高温导热油,节能热油泵,常州导热油,武林牌导热油,高温常能导热油,常能导热油,武林热油泵,武进热油泵,高温常能导热油,欢迎新老客户前来咨询选购。

颗粒度传感器

西安正天科创测控技术有限公司(www.xaztkc.com)是金属磨损传感器,颗粒度传感器,油液品质在线监测系统,油液品质传感器,金属磨粒监测厂家,公司已经通过ISO9001质量体系认证,相关产品已通过CE认证,而且以机械设备健康监测与管理为发展重心,欢迎来电洽谈交流

久日新材

久日新材久日新材天津久日新材料股份有限公司成立于1998年,是集研发、生产、销售、服务于一体的专业性光引发剂、单体、齐聚物、紫外吸收剂等光固化材料的国家高新技术企业,为上海证券交易所科创板上市公司(股票简称:久日新材,股票代码:688199)。

环卫绿化洒水车厂家,雾炮车价格,东风洗扫车厂家参数

湖北程力专用车厂家主要生产销售环卫绿化洒水车,雾炮车,洗扫车,吸污车,吸粪车等各类专用车车型,其中有程力东风环卫12吨洒水车,8吨绿化洒水车,国六15方雾炮抑尘车,小型蓝牌吸污车和国六多利卡吸粪车等市政工程车,以及各类多功能洗扫车环卫车型。了解咨询更多车型,参数,配置,图片和价格优惠信息联系程力专用车销售经理。

Brembo布雷博官方商城

布雷博是公认的汽车与摩托车盘式制动器技术创新者,为世界知名的汽车与摩托车生产商提供高性能制动件,包括刹车制动卡钳,制动片,制动盘,制动液等。

电车之家

电车之家,专业的电动汽车及新能源汽车门户网站,涵盖电动汽车新闻、丰富车型展示、详尽购车指南与评测、前沿新能源汽车技术解析、活跃车主社区与论坛、便捷充电设施查询、权威政策法规解读、深度行业趋势分析、积极绿色出行倡议以及二手电车交易平台,全方位服务您的绿色出行需求。

全局底部横幅