[text]返回顶部&/&你以为这就是全部了？我们来告诉你完整的XCodeGhost事件围观&·&&0评论&·&&0香蕉&/&&&/&&已收藏&/&&/&你以为这就是全部了？我们来告诉你完整的XCodeGhost事件
转载自：/index.php/blog/msg/96
这几天安全圈几乎被XCodeGhost事件刷屏，大家都非常关注，各安全团队都很给力，纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后，我们认为，这还不是全部，所以我们来补充下完整的XCodeGhost事件。
由于行文仓促，难免有诸多错漏之处，还望同行批评指正。
【事件溯源】
，我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量，行为非常可疑，于是终端安全团队立即跟进，经过加班加点的分析和追查，我们基本还原了感染方式、病毒行为、影响面。
，产品团队发布了新版本。同时考虑到事件影响面比较广，我们立即上报了CNCERT，CNCERT也马上采取了相关措施。所以从这个时间点开始，后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。
接到我们上报信息后
，CNCERT发布了这个事件的
。我们也更新了移动APP安全检测系统“金刚”。
图1 CNCERT发布的预警公告
月16日，我们发现AppStore上的TOP5000应用有76款被感染，于是我们向苹果官方及大部分受影响的厂商同步了这一情况。
月17日，嗅觉敏锐的国外安全公司paloalto发现了这个问题，并发布
第一版分析报告。
接下来的事情大家都知道了，XCodeGhost事件迅速升温，成为行业热点，更多的安全团队和专家进行了深入分析，爆出了更多信息。
【被遗漏的样本行为分析】
在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器
上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。
上报的域名是，同时我们还发现了攻击者的其他三个尚未使用的域名。
图2 上传机器数据的恶意代码片段
）黑客可以下发伪协议命令在受感染的iPhone中执行
黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS openURL这个API来执行。
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。
图3 控制执行伪协议指令的恶意代码片段
）黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口
和远程执行指令类似，黑客也可以远程控制弹出任何对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工和诱导的方式，在受感染的iPhone中安装企业证书APP。装APP干什么？还记得几个月之前曝光的Hacking Team的iPhone非越狱远控（RCS）吗？
图4 控制远程弹窗的恶意代码片段
）远程控制模块协议存在漏洞，可被中间人攻击
在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可以被轻易暴力破解。我们尝试了中间人攻击，验证确实可以代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。
图5 存在安全漏洞的协议解密代码片段
值得一提的是，通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中，都未指出模块具备远程控制能力和自定义弹窗能力，而远程控制模块本身还存在漏洞可被中间人攻击，组合利用的威力可想而知。这个事件的危害其实被大大的低估了。
【感染途径】
分析过程中我们发现，异常流量APP都是大公司的知名产品，也是都是从AppStore下载并具有官方的数字签名，因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然，接下来很快从开发人员的xcode中找到了答案。
我们发现开发人员使用的xcode路径
Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/
下，存在一个名为CoreServices.framework的“系统组件”，而从苹果官方下载的xcode安装包，却不存在这些目录和“系统组件”。
图6 被感染恶意代码的xcode包路径
原来开发人员的xcode安装包中，被别有用心的人植入了远程控制模块，通过修改xcode编译参数，将这个恶意模块自动的部署到任何通过xcode编译的苹果APP（iOS/Mac）中。
水落石出了，罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。
通过百度搜索“xcode”出来的页面，除了指向苹果AppStore的那几个链接，其余的都是通过各种id（除了coderfun，还有使用了很多id，如lmznet、jrl568等）在各种开发社区、人气社区、下载站发帖，最终全链到了不同id的百度云盘上。为了验证，团队小伙伴们下载了近20个各版本的xcode安装包，发现居然无一例外的都被植入了恶意的CoreServices.framework，可见投放这些帖子的黑客对SEO也有相当的了解。
图7 XCodeGhost作者在知名论坛上发布xcode的下载帖
进一步来看，攻击者做到的效果是只要是通过搜索引擎下载xcode，都会下载到他们的XCodeGHost，还真的做到了幽灵一样的存在。
【影响面】
在清楚危害和传播途径后，我们意识到在如此高级的攻击手法下，被感染的可能不只一个两个APP，于是我们马上对AppStore上的APP进行检测。
最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用。根据保守估计，受这次事件影响的用户数超过一亿。
经过这一事件后，开发小伙伴们纷纷表示以后只敢下官方安装包，还要MD5和SHA1双校验。而这个事件本身所带来的思考，远不止改变不安全的下载习惯这么简单。
经过这两年若干次攻击手法的洗礼后，我们更加清醒的意识到，黑产从业者早已不是单兵作战的脚本小子，而是能力全面的黑客团队。
总结来看，移动互联网安全之路任重道远。当然，这里的危机也是安全行业的机遇。
XcodeGhost原作者道歉微博/u/
感兴趣的人可以去/XcodeGhostSource/XcodeGhost，疑似原作者上传的源码你以为这就是全部了？我们来告诉你完整的XCodeGhost事件该投稿暂无简介android开发也可能中招，想了想发现我的android studio是是在官方用浏览器自带下载的，应该不会中同样的招android开发也可能中招，想了想发现我的android studio是是在官方用浏览器自带下载的，应该不会中同样的招[+展开简介]投1蕉安利给基友官方下载功能反馈本站不提供任何视听上传服务，所有内容均来自视频分享站点所提供的公开引用资源。Copyright (C)
AcFun. 保留所有权利智东西（公众号：zhidxcom）文 | 快科技1、XcodeGhost事件的来龙去脉源于9月18日乌云网公布的一则分析报告：XCode编译器里有鬼——XCodeGhost样本分析。这份纯粹的技术分析报告引爆中国iOS生态链的众多开发者。有些程序员使用了第三方Xcode编译器，这些编译器编写的APP存在安全问题，当它们上传到AppStore之后，被用户下载安装，它们会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。从病毒样本的分析看，这些泄露信息其实并不涉及太多的隐私问题。值得注意的是，病毒拥有更多的权限，它们在iPhone/iPad上弹出钓鱼网站页面，可能骗取iCloud帐号密码，或者其他关键信息。2、哪些APP有问题，可能有什么影响？据分析，受XCodeGhost事件影响的APP可能有30多款，包括微信、我叫MT、同花顺、南京银行、南方航空、中信银行行动卡空间、名片全能王、愤怒的小鸟2等等比较熟知的应用。安装这些应用的iPhone/iPad用户可能泄露基本的信息。如果在近一段时间（1-2个月内），普通用户在这些受影响的应用中输入过敏感信息，如icloud密码、信用卡信息等，这些信息理论上也可能被泄露。基于安全的考虑，最好对涉及到的密码、支付方式等进行修改。3、这意味着什么？苹果不再安全了吗？以往人们普遍认为，只要不越狱，只从官方应用市场下载软件，iPhone/iPad就是安全的。现在，这个神话破灭了。开发工具中做手脚 ，可能骗过那些聪明的程序员，在编译自己的应用时，把有害代码加进去，威胁用户数据安全。甚至这种攻击方式绕过了AppStore的安全审核机制，使得官方商店的防护也不如以往那样可信。4、iPhone/iPad需要安全软件吗？总的来说，iPhone/iPad不越狱的风险仍然可控，尽管这次苹果的安全审查未能检测到威胁。用户仍然只能从官方市场下载应用，比安卓上混乱的应用市场还是要好一些。另外，需要提醒苹果用户注意的是，并不是手机不中毒就安全，目前大量安全事件其实并非手机端的病毒制造的，信息泄露、网络钓鱼、电信诈骗等几乎无处不在，提高安全意识才是防范风险最有用的手段。而这些，显然不能仅仅依靠手机端的安全软件来解决。5、普通用户如何防范？再次建议iPhone/iPad用户不要越狱，只从官方市场下载软件。当有人试图套取你的iCloud帐户密码或者其他重要帐户密码、手机验证码时，必须谨慎对待。为确保安全，用户也可以选择暂时卸载那些受影响软件。保险起见，修改iCloud帐户密码。再次强烈建议开通iCloud双重验证，方法可参考百度经验的技术文章：/article/eb9f7b6da354df1.html6、疑似作者道歉了，公开了源码，他说的是真的吗？#XcodeGhost#始作俑者@XcodeGhost-Author向公众致歉，称这是一个“实验”、“并未制造威胁性行为”，并上传源码供研究人员分析，业内人士从源码判断“可信度较高”。7、有人说需要iCloud需要改密码，信用卡需要注销，12306也要改密码。目前，该事件并未上升到草木皆兵的地步，iCloud帐户及其他重要帐号，建议网友开通双重验证（即除了用户名密码验证，再开通其他方式比如手机验证码验证动态密码）。安全专家总在反复强调不要重复使用密码，不要使用过于简单的密码，这些都是非常重要的建议。当安全事件到来时，有所准备的网友受到伤害的可能性最低。8、针对XCode程序员的安全建议是什么？程序员使用Xcode非官方版本，可能有两个原因：官方渠道下载缓慢，或者开发者使用了黑苹果（盗版苹果系统）开发。这件事给程序员敲响警钟，要安全，首先得保证自己的开发工具安全。程序员被黑客暗算的事儿曾经多次发生，无论如何，建议使用正版、未被非法篡改过的开发工具编写程序，避免你的用户成为受害者。其次，编译环境、发布环境的安全值得注意，编译服务器和自动发布服务器，应保持干净的环境，不要随意安装来源不明的可疑软件。9、此次事件对苹果的安全策略会造成什么影响？显然，苹果会修补这次安全事件造成的影响，安全审查会变得更严格。但苹果不会为某些软件（比如安全软件）提供更多权限。10、为什么苹果没能阻止这次攻击？安全是动态的过程，今天认为安全的保护措施，可能在未来某个时刻被新的攻击方法突破，或者总有漏洞被黑客发现。一个完全不会被攻克的系统，只能是神话。（本文原载于快科技，原标题为“Xcode事件 你需要知道的十个问题”）智东西招人啦～智东西目前已经是绝对领先的智能硬件行业媒体，全媒体覆盖千万读者；几位极富经验的媒体人创办一年来，已受邀参与了CES美国消费电子展、MWC巴塞罗那移动大会、IFA柏林消费电子展、苹果2015秋季新品发布会、IDF英特尔旧金山技术峰会、德国红点大奖等绝大部分行业大会的现场报道，20万业界人士每日必读。《智东西》找靠谱编辑记者和实习生，各2名。编辑/记者需要Hold得住媒体平台，上得了CEO对话采访，拥有媒体情怀和对科技世界的无穷好奇和孜孜不倦地探究精神，领悟力强；媒体基本功扎实（优秀应届生可培养）。实习生希望你有对前沿科技和媒体的热忱和激情，酷爱数码消费电子产品，是一位生活中的玩家；对文字有兴趣有感觉，有新媒体（微信/微博）运营经历则更好。你将得到：·不低于主流互联网公司的薪资和福利待遇。·和一群最靠谱的互联网媒体人共同成长的经历。·为一个足以让你物质、精神双丰收的梦想奋斗。·全球各角落好玩儿的东东，只要想玩儿，都能迅速得到。想玩儿，就火速来，简历至，详情点击阅读原文查看～　
　文章为作者独立观点，不代表微头条立场
的最新文章
Gopro在4月7日发布了一款名为Omni的虚拟现实摄像机设备。我们建议在这一时期，创业公司还是要冷静踏实地做好自己的核心竞争力，成为熬过寒冬迎来花开的收获者。与PC和游戏机连用的VR设备才是未来发展趋势。▎智东西
译｜旖媛Strategy Analytics的最新霍兹打赌可以抢先开发一辆汽车在旧金山游人密集的金门大桥上自动行驶，马斯克没有回应。▎智东西
文｜海中天周一三款QUHD TV定位于专业级呈像效果、超薄和高清赛事直播。相比于电动汽车，氢作为新能源燃料其实已经严重滞后了。而华米的下一步，是押宝互联网医疗。目前， Vive消费者版已在全球启动了首批订单发货。4成用户习惯通过Apple Watch 使用Apple Pay。VR和AR有一个共同点：都能带来沉浸式体验。▎智东西
文｜十四今天微软的Build 2016，夸了一下Su我们必须说服平井一夫，从结果来说，大家已经可以看到这个产品了。继2015年推出PC端头显和内容分发平台，完成4000万美元B轮融资。今年移动端头显上市。发布会上没讲的秘密都在这里
iPhone SE和新iPad Pro体验。▎智东西
文｜国仁今天，苹果公司智东西（公众号：zhidxcom）文 | 翰阳北京时间4月1日上午11:30，特斯拉将正式发布全新车型Mod做了十年电视机芯片 创业第五个年头 誓言要颠覆液晶电视。▎智东西
对话｜国仁
编辑｜四月上周，钟波的极由智东西&极果举办的【2016中国(北京)VRAR产业峰会】将于4月16日北京举行，VRAR产业链大咖云集、最新VRAR产品体验等你来。堪比“哪吒”，跳票了无数次的Oculus Rift零售版终，于，出，货，了！问题的核心不在于眼前的通过一两款产品的挣钱能力。李彦宏说共享AI技术能推动进步，马化腾说互联网生态不搞帝国化。暴风魔镜今年目标是1000万台。在将VR技术变成现实的道路上，NVIDIA成为了急先锋。随着无人机的流行，政策制定者、爱好者、无人机制造商都在努力解决存在的问题：未来的无人机和公共安全、隐私、使用会形成怎样的关系。第十五期智东西·创课邀请亮风台创始人/CEO 廖春元先生，对增强现实AR和虚拟现实VR进行深入解读，就AR和VR区别分享观点。为了帮你挑个好的，我们也是蛮拼的。大朋VR CEO陈朝阳表示，M2解决了VR产品的清晰度、延迟、眩晕等问题。H1定价为4999元，将于今日在京东商城预约，4月1日起全网现货发售。399美元的iPhone SE，你看好吗？相较普通的70-80的天绿叶植物成熟期，该种模式可将蔬菜的成长周期控制在15-30天内。从1992年第一款ThinkPad PC 700C诞生至今，ThinkPad品牌已经走过24个年头。iPhone 5 SE凭借499美元的售价，成为iPhone自2007年推出以来，苹果推出的十三款iPhone机型中最便宜的一款。iPad Pro的9.7英寸版，看来iPad Pro会作为一个系列发展，核心差异是支持手写笔，同时配置更高。iPhone SE发布的干货和八卦，看这篇就够了!VR用户们又热情又宽容，眼巴巴的期望好产品。第十四期智东西·创课邀请BroadLink(博联)创始人/CEO 刘宗孺先生，对今年315热点话题智能家居进行深入解读和前景分析。zhidxcom智能硬件第一媒体。专注报道智能硬件创新先锋人物、公司和产品；为创业者，连接智能硬件产业链生态。热门文章最新文章zhidxcom智能硬件第一媒体。专注报道智能硬件创新先锋人物、公司和产品；为创业者，连接智能硬件产业链生态。据外媒报道，一位名叫Szymon Waliczek的Ubuntu Touch Insider测试人员，已经对五款智能机进行了Fish Tank Test（鱼缸测试）。除了运行Ubuntu Touch操作系统的...
据外媒报道，一位名叫Szymon Waliczek的Ubuntu Touch Insider测试人员，已经对五款智能机进行了Fish Tank Test（鱼缸测试）。除了运行Ubuntu Touch操作系统的魅族MX4和Aquaris E4.5之外，还有3台Android智能机（其中一台Nexus 4刷了Ubuntu OS）。结果发现，MX4的跑分成绩最高，Aquaris E4.5次之。
从左至右，这五台智能机分别为：Aquaris E4.5 Ubuntu Edition、魅族 MX4 Ubuntu Edition、Nexus 4 Ubuntu Touch、Nexus 4 Android 5.1.1、以及索尼 Xperia Z2 Android 5.1.1。
得分排行如下：
o 魅族 MX4 Ubuntu Edition（25fps）；
o Aquaris E4.5 Ubuntu Edition（15fps）；
o 索尼 Xperia Z2
Android 5.1.1（7fps）；
o Nexus 4 Ubuntu Touch（5fps）；
o Nexus 4 Android 5.1.1（5fps）。
Ubuntu vs Android Fish Tnak test - BQ E4.5, Meizu MX4, Nexus 4, Xperia Z2
Szymon Waliczek因Ubuntu Touch Manager项目被人们所熟知，这款图形化软件是的Ubuntu Phone用户可以更轻松的给设备收发传送文件、甚至还可以给Ubuntu Touch的Unity UI截个图。
[编译自：Soft Pedia]
小伙伴们大爱你的共享精神：
沙发、頭香很舒服的说 . . .
社交帐号登录N软网QQ交流群
N软网技术交流 QQ群：&&
N软网万人QQ群欢迎亲加入！群内大神云集！
IT技术交流与学习讨论，热心互助共同成长！
群内小伙伴们都在讨论着各种火热奇葩的话题
热门文章最新发布随机推荐病毒名称：XCodeGhost文件：CoreServices大小：268020 字节MD5：4FA1B08FDFCBCSHA1：F2961EDA0A224C955FEBA55909AD5C&C：init.XCodeGhost简述由于大量公司的开发人员从第三方网站下载了IOS应用的编译工具XCode来进行APP的开发工作，导致大量在苹果官方App Store上发布的APP感染了后门XCodeGhost。这是苹果IOS系统一次史无前例的大面积用户感染恶性事件。搜索引擎、各大云盘、下载工具、共享社区等均成为此后门的推广和下载助推剂，甚至连腾讯微信都不能幸免，其感染的APP囊括了金融如:同花顺、中信银行、中信银行动卡空间、南京银行等，游戏如:愤怒的小鸟2，航空如:南方航空应用，社交如:天涯社区，教育如:网易公开课，播放器如:万能影音播放器等数百款用户日常使用APP均感染了此后门。XCodeGhost到底有何危害？通过对XCodeGhost代码的深入分析，启明星辰ADLab已经发现此恶意代码除了具备感染APP信息收集的功能，其还具备一个可以远程弹出定制系统对话框，远程执行第三方APP，远程打开任意URL，远程控制下载任何APP等功能，通过样本收集的信息结合功能强大的(openURL)可以实现对用户系统完全控制。XCodeGhost刚发现时，大部分厂商均只对XCodeGhost进行粗略的分析，网上流转和刷屏的报告和新闻几乎都认为这个插入到XCode中的幽灵只是收集一些无关紧要的信息，包含作者利用社工库账号出来致歉所指出的只是获取一些APP的基本信息，虽然看起来似乎没什么重要的信息，但是实际上已经有收集信息的嫌疑了。然而更具有危害潜力的实际是作者所谓的私心留了一个APP推广下载的后门。这个推广后门完全能利用openURL以及根据收集的信息通过伪装的系统对话框来实现一个非常隐秘的欺骗和强大的远程控制。核心功能（经分析和/XcodeGhostSource/XcodeGhost上的源码所示功能一致。）：1、在APP各种运行状态下，收集感染APP运行时状态、应用名、应用版本号、系统版本号、语言、国家名、开发者符号、APP安装时间、设备名称、设备类型上传并且返回控制命令，控制端后台完全可以根据这些信息来自动发送相应控制参数。2、检测调试和模拟器，防止在调试器状态时收集信息。3、根据远程控制设置弹出任何系统服务对话框，对话框标题，内容，按钮均可远程设置，并且可以根据URL设置(利用强大openURL)实现打开第三方APP和系统自带的一些功能，如自动发短信，打电话，启动浏览器，邮箱等。4、实现了可以不跳转到APPStore来下载安装指定APP。5、所有的弹出对话框均可以远程设置延迟时间来进行定时弹出。详细技术分析以下按一个受感染APP的执行流程来对恶意代码的执行逻辑进行深入分析：1、受感染APP启动时，设置定时发作和状态监控。首先，当一个受感染APP启动执行后在显示window的时候函数makeKeyAndVisible会得到执行，恶意代码重写此函数并且进行相应的操作。受感染APP启动后，首先判断系统是否为6.0以上，否则设置定时器并且设置通知中心处理方法，可能此举是为了实现在受感染APP内部进行第三方APP的下载(使用SKStorePr
oductViewController，此试图控制器只支持IOS6.0以后系统)。如果是6.0以上就设置默认睡眠时间秒(417天，这个睡眠时间是可以通过远程进行修改的)、设置定时器Check、添加多个通知中心（NSNotificationCenter）。2、状态监控中发送收集信息，返回控制命令。通知中心监控函数，会检测调试器和模拟器，根据不同的情况来进行相应的动作，以及在各种状态下回传收集的信息以及返回控制信息，以及处理控制命令执行相应的动作。通知处理函数功能UIApplicationDidBecomeActiveNotification上传搜集信息，返回控制命令，只有在调试状态下才不会发送。UIApplicationWillResignActiveNotification上传搜集信息，返回控制命令，只有在调试状态下才不会发送。UIApplicationDidEnterBackgroundNotification删除控制信息，上传搜集信息，返回控制命令，只有在调试状态下才不会发送。UIApplicationWillTerminateNotification删除控制信息，上传搜集信息，返回控制命令，只有在调试状态下才不会发送。3、定时器设置激活时间，收集信息，处理控制命令。首先定时器也会检测调试器，并且还会检测模拟器，如果其中之一存在，定时器直接返回什么也不做，以此隐藏自身行为（因此不管你是在调试开发自己的APP还是动态调试分析，都不容易发现他的存在）。否则定时器从standardUserDefaults中取出&SystemReserved&的值，这个值即是激活时间。如果到达了激活时间，受感染APP会运行自身Run函数，这个Run函数是何方圣神，请看下图：直接是用了Connection函数，这个才是关键，跟踪进去我们看看他做了什么。看到了吧，这就是闹得沸沸扬扬的关键，收集信息上传。到底上传了什么信息，作者也交代了一下。“在代码中获取的全部数据实际为基本的APP信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型”。虽然看起来似乎没什么重要的信息，但是实际上已经有收集信息的嫌疑了，其实不止这些信息，他还会监控受感染APP的运行状态，并且上传这些状态信息，这些信息包含受感染APP的launch、suspend、running、terminate、resignActive、AlertView等状态信息。我们先来看看收集信息的逻辑。首先，受感染APP在加载和运行过程中会重新设置休眠时间。然后，开始进行信息收集，这些信息由如下函数来完成，就不具体介绍这些信息了。收集的这些信息以JSON数据方式组织并且通过DES加密后以HTTP POST方式回传，并且信息用DES进行加密。发送完成后，样本对HTTP响应的数据做了保存和处理。响应的数据同样也是DES加密处理，并且极其容易进行中间人攻击，只要你能中转这个URL就可以发送响应数据。4、解密控制命令，执行控制端指定的恶意行为。接下来，我们看看程序如何对这些响应的数据做处理的。大家自然会想到查找数据接收完成后的处理函数。从IDA中可以看到是Response函数，这个函数就是处理控制功能的核心。此函数应该就是作者所声称的预留APP推广的主要部分。我们仔细看看这个函数。首先通过DES来解密出响应的数据，这些数据是以JSON的方式来存储的，由于网站被关闭，目前我们无法获取这些数据，但是可以从其对数据处理逻辑上来推测这些数据中到底包含了什么，这与黑客的控制指令类似。key描述sleep用来设置睡眠时间showDelay用于设置弹框延迟执行时间alertHeader弹框的标题alertBody弹框的内容appID要推广的appIDcancelTitle取消按钮confirmTitle确定按钮configUrl配置任意URL进行打开scheme设置scheme，利用canOpenURL来检测当前系统中到底存在有什么应用。看到这些后，你会觉得他给自己留了一个很大的余地，并且可以说能干很多猥琐的功能，如自动打电话，发短信，控制其他第三方APP等，还有可以弹出一个伪造的系统对话框来欺骗用户输入APP ID和密码来下载带有恶意功能的APP。首先，此注入代码会根据远程配置的JSON数据的不同而执行不同的功能。（1）如果远程配置了alertHeader、alertBody、appID、cancelTitle、confirmTitle和scheme，那么注入代码首先通过canOpenURL来确认scheme参数指定的APP是否存在。如果不存在，那么就直接弹出根据配置的alertHeader、alertBody、appID、cancelTitle、confirmTitle作为参数来延迟弹出对话框，并且监控用户的选择，并记录下弹出状态并进行了保存，作为收集信息的一部分。其中状态信息包含: launch、suspend、running、terminate、resignActive、AlertView。如果用户选择了确认按钮(确认按钮名称可以伪造成取消之类的)，就会下载指定APP。2）如果远程配置了configUrl和scheme，那么首先确定secheme设置的参数(可能是APP或者URL链接)是否能够成功打开，判定其是否存在。如果不存在，则打开设定的URL。此URL通过openURL来实现，可实现打开设置好的URL和第三方APP运行，如直接向默认号码打电话，自动发送短信，通过指定第三方APP参数可以在一定程度对其进行控制等。大家都应该知道在购物过程中通过支付宝进行支付的页面跳转吧，此参数完全可以实现这样的功能。3）最后一部分是根据APP ID和scheme参数来进行，此处主要实现了不通过跳转到AppStore来下载指定应用。通过SKStoreProductViewController来实现APP内部的指定APP ID下载指定APP。分析结论根据以上分析，可以看出，XCodeGhost具备强大的远程控制功能，目前我们完全不知道它以前真的干过什么，不知道是否正如作者所说那样只是为了留着做APP推广。另外，由于远程控制数据只是采用了DES算法进行加密，很容易进行中间人攻击，只需要重新定位URL即可接管所有的控制。文末附上启明星辰ADLab出品的XCodeGhost恶意代码检测工具及源码下载链接：/s/1hqARsHY　
　文章为作者独立观点，不代表微头条立场
的最新文章
日，乌克兰电力系统遭到攻击，导致乌克兰大规模停电。此次事件的罪魁祸首乃BlackEnery（黑色力量）家族的新变种，变种的新型破坏组件为KillDisk。weevely是一款常用的php webshell相关的黑客工具，核心功能有两个：1、生成php webshell，2、连接远端的php webshell。近日，百度旗下多款APP被曝存在WormHole漏洞，安卓手机只要连接了网络，无论root与否都有被安装应用和远程控制的风险。受影响的APP包含有手机百度、百度地图、百度贴吧、百度云等多个用户过亿的安卓应用。针对此漏洞，启明星辰ADLab进行了深入的分析。通过对XCodeGhost代码的深入分析，启明星辰ADLab已经发现此恶意代码除了具备感染APP信息收集的功能，其还具备一个可以远程弹出定制系统对话框日，各大安全厂商均报出第三方Xcode编译器里存在恶意代码的注入，其注入代码存在于XcodeMOSEC大会于六月五日（星期五）在上海新天地朗廷召开，主办方是Pangu团队和韩国的POC会务微软在win8.1 update3和新发布的win10中引入了新的漏洞防护机制——CFG用以阻止不受信任的间浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商,面向全球提供领先的视频存储、前端、显示控启明星辰ADLab针对Hacking Team泄露的RCS系统Linux木马进行分析发现，该木7月以来泄露的0day还真是让人欢喜让人忧。相比于Malwaredontneedcoffee时不时放出样昨天忙完已经很晚了，加上今天还要继续参会，最终也没有去参加Rapid7组织的黑客大趴。今天一大早起来直奔会场距离Hacking Team数据泄漏至今已经一周多了，越来越多有价值的东西渐渐的被大家从400G资料中挖掘出v_adlab启明星辰积极防御实验室（ADLab），中国安全业最早成立的攻防技术研究实验室。致力于攻防技术人员培养、网络安全、信息安全深层攻防技术研究，开拓安全领域前瞻性技术研究，发现计算机以及网络系统中存在的各种安全缺陷，帮助用户获得全面、持久的安全。热门文章最新文章v_adlab启明星辰积极防御实验室（ADLab），中国安全业最早成立的攻防技术研究实验室。致力于攻防技术人员培养、网络安全、信息安全深层攻防技术研究，开拓安全领域前瞻性技术研究，发现计算机以及网络系统中存在的各种安全缺陷，帮助用户获得全面、持久的安全。