9月17日,嗅覺(jué)敏銳的國(guó)外安全公司paloalto發(fā)現(xiàn)了這個(gè)問(wèn)題���,并發(fā)布第一版分析報(bào)告,阿里移動(dòng)安全也發(fā)布了分析報(bào)告。
接下來(lái)的事情大家都知道了����,XCodeGhost事件迅速升溫,成為行業(yè)熱點(diǎn)���,更多的安全團(tuán)隊(duì)和專(zhuān)家進(jìn)行了深入分析���,爆出了更多信息。
【被遺漏的樣本行為分析】
1)在受感染的APP啟動(dòng)�、后臺(tái)、恢復(fù)��、結(jié)束時(shí)上報(bào)信息至黑客控制的服務(wù)器
上報(bào)的信息包括:APP版本��、APP名稱(chēng)���、本地語(yǔ)言��、iOS版本����、設(shè)備類(lèi)型�、國(guó)家碼等設(shè)備信息,能精準(zhǔn)的區(qū)分每一臺(tái)iOS設(shè)備�����。
上報(bào)的域名是icloud-analysis.com,同時(shí)我們還發(fā)現(xiàn)了攻擊者的其他三個(gè)尚未使用的域名��。
圖2上傳機(jī)器數(shù)據(jù)的惡意代碼片段
2)黑客可以下發(fā)偽協(xié)議命令在受感染的iPhone中執(zhí)行
黑客能夠通過(guò)上報(bào)的信息區(qū)分每一臺(tái)iOS設(shè)備���,然后如同已經(jīng)上線的肉雞一般���,隨時(shí)���、隨地�、給任何人下發(fā)偽協(xié)議指令�,通過(guò)iOS openURL這個(gè)API來(lái)執(zhí)行。
相信了解iOS開(kāi)發(fā)的同學(xué)都知道openURL這個(gè)API的強(qiáng)大�����,黑客通過(guò)這個(gè)能力����,不僅能夠在受感染的iPhone中完成打開(kāi)網(wǎng)頁(yè)、發(fā)短信�����、打電話等常規(guī)手機(jī)行為,甚至還可以操作具備偽協(xié)議能力的大量第三方APP���。實(shí)際上����,iPhone上的APP如果被感染����,完全可以理解為黑客已經(jīng)基本控制了你的手機(jī)!
圖3控制執(zhí)行偽協(xié)議指令的惡意代碼片段
3)黑客可以在受感染的iPhone中彈出內(nèi)容由服務(wù)器控制的對(duì)話框窗口
和遠(yuǎn)程執(zhí)行指令類(lèi)似�,黑客也可以遠(yuǎn)程控制彈出任何對(duì)話框窗口。至于用途���,將機(jī)器硬件數(shù)據(jù)上報(bào)��、遠(yuǎn)程執(zhí)行偽協(xié)議命令����、遠(yuǎn)程彈窗這幾個(gè)關(guān)鍵詞連起來(lái)�����,反正我們是能夠通過(guò)這幾個(gè)功能,用一點(diǎn)點(diǎn)社工和誘導(dǎo)的方式����,在受感染的iPhone中安裝企業(yè)證書(shū)APP。裝APP干什么�����?還記得幾個(gè)月之前曝光的Hacking Team的iPhone非越獄遠(yuǎn)控(RCS)嗎���?
圖4控制遠(yuǎn)程彈窗的惡意代碼片段
小編推薦閱讀
