4)遠(yuǎn)程控制模塊協(xié)議存在漏洞��,可被中間人攻擊
在進(jìn)行樣本分析的同時(shí)�����,我們還發(fā)現(xiàn)這個(gè)惡意模塊的網(wǎng)絡(luò)協(xié)議加密存問題�����,可以被輕易暴力破解����。我們嘗試了中間人攻擊,驗(yàn)證確實(shí)可以代替服務(wù)器下發(fā)偽協(xié)議指令到手機(jī)���,成為這些肉雞的新主人���。
圖5存在安全漏洞的協(xié)議解密代碼片段
值得一提的是,通過追查我們發(fā)現(xiàn)植入的遠(yuǎn)程控制模塊并不只一個(gè)版本�。而現(xiàn)已公開的分析中,都未指出模塊具備遠(yuǎn)程控制能力和自定義彈窗能力����,而遠(yuǎn)程控制模塊本身還存在漏洞可被中間人攻擊,組合利用的威力可想而知���。這個(gè)事件的危害其實(shí)被大大的低估了��。
【感染途徑】
分析過程中我們發(fā)現(xiàn)�,異常流量APP都是大公司的知名產(chǎn)品,也是都是從AppStore下載并具有官方的數(shù)字簽名�,因此并不存在APP被惡意篡改的可能。隨后我們把精力集中到開發(fā)人員和相關(guān)編譯環(huán)境中����。果然,接下來很快從開發(fā)人員的xcode中找到了答案��。
我們發(fā)現(xiàn)開發(fā)人員使用的xcode路徑Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下����,存在一個(gè)名為CoreServices.framework的“系統(tǒng)組件”�,而從蘋果官方下載的xcode安裝包,卻不存在這些目錄和“系統(tǒng)組件”��。
圖6被感染惡意代碼的xcode包路徑
原來開發(fā)人員的xcode安裝包中��,被別有用心的人植入了遠(yuǎn)程控制模塊�����,通過修改xcode編譯參數(shù)����,將這個(gè)惡意模塊自動的部署到任何通過xcode編譯的蘋果APP(iOS/Mac)中����。
水落石出了�����,罪魁禍?zhǔn)资情_發(fā)人員從非蘋果官方渠道下載xcode開發(fā)環(huán)境�。
通過百度搜索“xcode”出來的頁面,除了指向蘋果AppStore的那幾個(gè)鏈接�,其余的都是通過各種id(除了coderfun,還有使用了很多id����,如lmznet、jrl568等)在各種開發(fā)社區(qū)�、人氣社區(qū)、下載站發(fā)帖��,最終全鏈到了不同id的百度云盤上���。為了驗(yàn)證�����,團(tuán)隊(duì)小伙伴們下載了近20個(gè)各版本的xcode安裝包�����,發(fā)現(xiàn)居然無一例外的都被植入了惡意的CoreServices.framework����,可見投放這些帖子的黑客對SEO也有相當(dāng)?shù)牧私狻?
小編推薦閱讀
