新闻

中国打猎论

2016-6-27 16:13

中国打猎论【在.线.客.服.Q:312708777】【免.定.金】【送.全.套.配.件】【安.全.制.品】【货.到.付.款】【诚.信.保.密】

中国打猎论

  移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。

  腾讯科技讯腾讯安全应急响应中心近日发布文章,就近日发生的在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码事件进行全面剖析,预计至少76款苹果应用被病毒入侵,受影响用户超过一亿。以下为原文:

  前言

  这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。

  由于行文仓促,难免有诸多错漏之处,还望同行批评指正。

  事件溯源

  事情要追溯到一周前。

  9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。

  9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

  9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

  图1 CNCERT发布的预警公告

  9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

  9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。

  接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。

  被遗漏的样本行为分析

  1、在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

  上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

  上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未使用的域名。

  图2上传机器数据的恶意代码片段

  2、黑客可以下发伪协议命令在受感染的iPhone中执行

  黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

  相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

  图3控制执行伪协议指令的恶意代码片段

  3、黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

  和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

  图4控制远程弹窗的恶意代码片段

  原标题:至少76款苹果app被置病毒受影响用户超1亿

  稿源:光明网

  作者:

相关文章: