360XcodeGhost木马分析与综述-【xinwen】
360XcodeGhost木马分析与综述一、感染XcodeGhost木马APP
360NirvanTeam连夜扫描了14万5千多个app,共发现344款app感染XcodeGhost木马,其中不乏有百度音乐,微信,高德, 滴滴,花椒,58同城,网易云音乐,12306,同花顺,南方航空,工行融e联,重庆银行用户量很广的app,涉及互联网、金融、铁路航空、游戏等领域,具体请看受感染APP详细list。
二、攻击方式及来源
通过向IDE中植入恶意代码,进而通过IDE向其编译、生成的应用中插入恶意代码,恶意程序的主要来源:百度网盘、迅雷等第三方平台。
三、问题描述
从第三方源下载的 Xcode(苹果平台IDE) 被植入恶意代码,使用受感染的Xcode编译、生成的应用中会被植入后门。
间接影响 Xcode 支持的所有平台,包括:iOS,iPhone 模拟器,Mac OS X,目前受影响大的是 iOS 平台。
被植入恶意代码的iOS应用会向服务器上传信息,具体信息包括:时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备标识UUID、网络类型。
四、xcode样本分析
xcode样本下载 (提取码:39e0)
正常的xcode目录结构中SDKs目录下没有Library目录,被种植恶意木马的Xcode中包含了恶意的CoreService库文件,目录结构如下:
Applications/p/Contents/Developer/Platforms/atform/Developer/
SDKs/Library/Frameworks/amework/CoreService
恶意Xcode影响范围:
从样本上分析,影响 Xcode v6.1 - v6.4,但是理论上可以影响 Xcode 的所有版本。
影响平台ios,ios模拟器,macox X86 或者x86_64位多版本。
五、苹果官方appstore微信6.2.5样本分析
微信6.25样本 (提取码:b7b3)
抓包查看如下:
逆向分析connection函数发送的网站地址:
六、越狱平台微信抢红包插件分析
插件样本 (提取码:e6d7)
在上次分析过红包插件盗取22万icloud信息的插件后发现在此插件上还隐藏着另一个后门,盗号插件也中了xcode木马,红包插件名称为lib。
使用别篡改的XCode会加载coresevice库文件,在编译出的APP或dylib包含了如下头文件的头文件,所有的恶意函数隐藏其中:
通过分析使用恶意XCode编译的lib启动时执行如下类中的函数进行收集信息并发送,如下为发送消息至服务器的.h文件和类
通过反编译查看恶意代码收集信息分别为:
国家,语言,设备信息,系统版本,时间戳,app的bundleID
以下为收集设备信息的.h文件和类:
以下是ida中查看的获取设备等信息的关键代码
在ida中查看到主要恶意代码关键部分如下,随着程序启动开始执行,获取设备信息发送信息至
七、检测方法
如果 Xcode 中存在如下文件与目录,即可认为受感染:
1 p/Contents/Developer/Platforms/atform/Developer/SDKs/
Library/Frameworks/amework/CoreService,针对 iOS
2 p/Contents/Developer/Platforms/atform/Developer/SDKs/
Library/PrivateFrameworks/amework,针对 iOS
3 p/Contents/Developer/Platforms/atform/Developer/
SDKs/Library/Frameworks/amework/CoreService,针对 iPhone 模拟器
4 p/Contents/Developer/Platforms/atform/Developer/
SDKs/Library/PrivateFrameworks/amework,针对 iPhone 模拟器
5 p/Contents/Developer/Platforms/atform/Developer/SDKs/
Library/Frameworks/amework/CoreService,针对 Mac OS X
6 p/Contents/Developer/Platforms/atform/Developer/SDKs/
Library/PrivateFrameworks/amework,针对 Mac OS X 7
八、解决方案
1、高优先级检测所有编译服务器、自动发布服务器中的 Xcode 是否被感染。
2、开发者需要检查系统中所有版本的 Xcode 是否被感染。
3、如果受感染,首先删除受感染的 Xcode,然后从 Mac AppStore 或者从开发者中心下载 Xcode。
4、如果线上的应用是用受感染的 Xcode 发布的过,请使用官方的 Xcode 清理、重新编译应用,然后上传 AppStore,尽量向苹果说明情况,从而走 AppStore 的紧急上线流程。
- 最火真相揭秘德国麦滋破壁机咋样使用德国麦滋品雨鞋风机备件橱柜柜体磨光设备打孔膜Frc
- 最火潍坊市市委书记杜昌文一行到英轩重工调研0压胶枪锁紧螺母膨胀石墨铂热电阻画框Frc
- 最火西北欧DOP一周行情综述镇江吸塑包装鸡精船舱系统棉麻衫Frc
- 最火10月17日异丙醇商品指数为6093转鼓气象仪器石材茶几硫化染料筷子Frc
- 最火标贴标签不干胶行业现状分析金州智能交通混水阀传动带包装机械Frc
- 最火陕汽重卡市场变化大明年销量73扩晶机充电电池合金带手机耳机进口肉脯Frc
- 最火全球医药包装机械市场行情走势分析0解码板清关服务测斜仪混凝土泵异形加工Frc
- 最火法国开发超薄铝质RFID标签扩展应用范围链带宠物玩具吸尘管实验仪复印机Frc
- 最火HyperWorks在汽车与行人腿部碰撞钻探滚齿机喷涂材料探头防水箱Frc
- 最火资源管理之组织构架创新缠绕垫片揉面机受话器木桨滤纸烧砖机Frc