【网络安全】XCodeGhost事件刨根问底

喜欢安全，热爱安全，投身安全，贡献安全。一个一脚门里一脚门外的安全人对此次攻击事件的理解。

本次攻击实质：利用Object-C编程语言灵活性进行的一次攻击。

XCodeGhost事件还原

9月14日CNCERT发布了一个安全公告，警告非官方的若干版本的Xcode程序包（苹果系统的软件开发包）被做了恶意的修改被并故意大范围散发诱导使用，经由这个Xcode开发包编译的苹果系统程序会被植入恶意代码。已知有数百个应用程序受影响，包括微信（6.2.5），滴滴出行（4.0.0），滴滴打车（3.9.7），联通手机营业厅（3.2），高德地图（7.3.8.2037），铁路12306（2.1），同花顺（9.26.03 - 9.26.01）等知名App。这些被特洛伊化的应用会连接外部的控制服务器，导致信息泄露甚至被远程控制。
9 月 18 日，来自 Palo Alto Networks 和 Apple Security Team 的关于 XcodeGhost 的信息，立刻引起了百度，360等安全公司的重视，信息提及黑客利用网盘存储恶意工具，在很多非官方苹果社区论坛传播。
9月19日各大各大安全厂商在官网、微博、论坛、微信等相继发布XCodeGhost的威胁分析报告。具有代表性的分析有百度云安全团队和360NirvanTeam(涅磐团队)。
9月19日日XCodeGhost作者公布源码，XCodeGhost的后门功能更加清晰，主要威胁功能表现为由服务器下发执行指令到客户端执行从而提高渗透级别，从而获取作者关心的任何信息。
主要功能包括：
1、上传软件包应用名称、版本、操作系统等基本信息。
2、可以由服务器下发指令：下发打开任意网页指令；下发打开APP下载链接指令；下发弹出对话框指令。
9月20日至今：苹果已经下架了影响比较大的流行APP，如网易云音乐等，各大安全厂商也相继发布了检测工具或提供云实时检测报告，截止到24日为止APPStore，91助手等仍存在数量不菲的被感染应用。

XCodeGhost攻击原理

从传统的利用应用漏洞攻击转为利用编程语言灵活性及开发工具配置修改的攻击，攻击手法隐蔽，攻击代码逆向分析非常具有迷惑性。

本次攻击不是利用某个应用的漏洞进行攻击，而是修改XCode软件的加载动态库配置文件（具体哪个文件不介绍了，毕竟知道的人越少越好），使得所有使用被修改过的XCode软件开发的APP都被感染。
利用Object-C的扩展类功能从而重写UIWindow父类的makeKeyAndVisible函数，从而导致在系统应用启动时调用自己写的makeKeyAndVisible函数从而启动恶意代码。其它面向对象语言如Java，C++没有此功能。

XCodeGhost检测原理

检测APP

解压ipa文件，直接搜索可执行文件中是否包含字符串” http://init.icloud-analysis.com
”，此网址为黑客上传数据的接收服务器域名。

grep –E  “http://init.icloud-analysis.com”  ./XXX

检测开发环境

find /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs  –name “CoreService”

自行验证测试：发现某下载助手下下载排行TOP100无感染情况，存在一个”叫叫超级医生“APP仍然是被感染状态。

XCodeGhost思考总结

此原理已经公开，后续大家再利用XCode的object-c语言开发时一定要查看一下链接选项是否存在异常，如果自己无法确认建议到官网下载XCode最新版本。
虽然此域名已经关闭，但不排除后续不法分子通过DNS劫持欺骗等实现对被感染客户端的控制，所以持续跟踪检测至关重要，对于IDP等产品需要加入检测特征进行检测阻断。
目前随着移动应用的普及，安全人员再也不是掌握传统的X86汇编和逆向分析思路那么简单，对Smali，lua、ARM汇编的理解和掌握程度都需要全方位提高，与此同时还要加强JDK、NDK、ios Foundation等类库API的理解和掌握，同时还要增强编程能力。
Windows系统的DEP和ASLR以及加壳等技术目前已经或正在逐步迁移到Android和IOS开发中，后续对于攻击人员和安全人员都提出了巨大的挑战。
随着技术的不断发展黑客攻击的手段也会不断加强，通过这些天的分析个人对公司及个人安全能力的体会更深了。
一个好的安全公司或团队考验的是应急响应能力，主要包括预警、分析、工具、检测、清除、产品，最后帮助政府将不法之徒绳之以法。但这也对安全团队成员的整体素质提出了更高的要求。
一个好的安全人员考验应该是思维和技术能力，需要不断修炼，不断挑战自我的，才能达到顶峰，“做了”和“知道应该是这样”对于一个安全事件的理解绝对是有区别的，希望关注安全的人勇于实践，不断提升，为国家，公司，自己的团队贡献更大的力量。
本次攻击及检测原理自己亲测完毕，感谢借我Mac笔记本的兄弟，感谢给我iPhone开发流程及指导的兄弟，谢谢你们，你们是我前行的动力，继续进步中。

【网络安全】XCodeGhost事件刨根问底相关推荐

半年全球网络安全入侵事件近千起，超19亿数据受影响
鱼生活在水里,我们生活在空气里,但我们终究会生活在网络里. 我们现在的生活和工作已经完全离不开网络,离开网络,和鱼离开水一样,我们会惶恐不安,甚至会窒息.我们生活的世界已经是网络世界,公司和政府都运行 ...
全球电力行业十大网络安全攻击事件
随着电力行业对网络的依赖程度越来越高,网络攻击对企业的安全运营造成巨大的威胁.电力系统与现代社会生产生活紧密相连,一旦出现断电,后果将不堪设想.对电力行业的攻击类型分为勒索病毒.DDoS攻击.APT攻 ...
网络安全季度总结：盘点2021年第一季度国内网络安全大事件
2021年第一个季度已经过去,网络安全问题依旧历久弥新,自互联不断发展以来,大大小小的网络安全问题影响着无数的企业.网民.安全问题的不断发生也是企业采取内部防泄密软件,以及网络安全技术防护的重要原因. ...
应急响应＞＞网络安全应急事件类型和处置办法
总目录如何提升网络安全应急响应与事件处置能力_千里:)的博客-CSDN博客一.事件类型划分 1.有害程序事件有害程序事件是指蓄意制造.传播有害程序,或者是因受到有害程序的影响而导致的信息安全事件 ...
盘点 | 全球关键信息基础设施网络安全大事件
1 委内瑞拉电网遭电磁攻击 2019年3月7日下午5点(当地时间),委内瑞拉全国23个州中的18个州发生了停电,原因是向全国提供80%电力的古里水电站遭到蓄意破坏. 9日上午,全国70%的地方恢复了 ...
网络安全行业与就业-2022年安全大事件盘点
vv2022年,随着俄乌冲突的爆发.新冠疫情的再次来袭,国内和国际局势日益严峻,网络安全事件频发,诸如数据泄漏.勒索软件.黑客攻击等层出不穷,有组织.有目的的网络攻击形势愈加明显.下面中科三方将针对2 ...
帐号泄露事件频发，到底什么样的密码才安全？
http://sspai.com/31659 前段时间,乌云曝光了网易邮箱存在的安全漏洞,尽管此事后来一波三折,网易一再否认,乌云也在漏洞页面上撤下了网易的名字,仅留下了「某邮箱」的字样,这其中的来来 ...
苹果回应 XcodeGhost：暂未发现个人信息受影响
苹果官网今日发文回应 XcodeGhost 事件,就其中几个关键问题作出解答.苹果称,目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的用途上. ...
信安教程第二版-第17章网络安全应急响应技术原理与应用
第17章网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述 353 17.1.1 网络安全应急响应概念 353 17.1.2 网络安全应急响应发展 353 17.1.3 网络安全应急响应 ...
换个角度思考勒索攻击事件
摘要:本文基于立体防御"事前.事中.事后"的思路,从检测角度来剖析如何检测和防范勒索软件的网络攻击,从而最大程度为企业减轻类似网络攻击带来的损失. 本文分享自华为云社区<从检 ...

【网络安全】XCodeGhost事件刨根问底

【网络安全】XCodeGhost事件刨根问底相关推荐

最新文章

热门文章