4)遠(yuǎn)程控制模塊協(xié)議存在漏洞�����,可被中間人攻擊
在進(jìn)行樣本分析的同時��,我們還發(fā)現(xiàn)這個惡意模塊的網(wǎng)絡(luò)協(xié)議加密存問題���,可以被輕易暴力破解�。我們嘗試了中間人攻擊�����,驗證確實(shí)可以代替服務(wù)器下發(fā)偽協(xié)議指令到手機(jī)����,成為這些肉雞的新主人。
圖5存在安全漏洞的協(xié)議解密代碼片段
值得一提的是�,通過追查我們發(fā)現(xiàn)植入的遠(yuǎn)程控制模塊并不只一個版本。而現(xiàn)已公開的分析中����,都未指出模塊具備遠(yuǎn)程控制能力和自定義彈窗能力,而遠(yuǎn)程控制模塊本身還存在漏洞可被中間人攻擊����,組合利用的威力可想而知���。這個事件的危害其實(shí)被大大的低估了。
【感染途徑】
分析過程中我們發(fā)現(xiàn)����,異常流量APP都是大公司的知名產(chǎn)品,也是都是從AppStore下載并具有官方的數(shù)字簽名�,因此并不存在APP被惡意篡改的可能。隨后我們把精力集中到開發(fā)人員和相關(guān)編譯環(huán)境中�����。果然�����,接下來很快從開發(fā)人員的xcode中找到了答案���。
我們發(fā)現(xiàn)開發(fā)人員使用的xcode路徑Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一個名為CoreServices.framework的“系統(tǒng)組件”�,而從蘋果官方下載的xcode安裝包,卻不存在這些目錄和“系統(tǒng)組件”��。
圖6被感染惡意代碼的xcode包路徑
原來開發(fā)人員的xcode安裝包中,被別有用心的人植入了遠(yuǎn)程控制模塊�����,通過修改xcode編譯參數(shù)���,將這個惡意模塊自動的部署到任何通過xcode編譯的蘋果APP(iOS/Mac)中����。
水落石出了��,罪魁禍?zhǔn)资情_發(fā)人員從非蘋果官方渠道下載xcode開發(fā)環(huán)境�����。
通過百度搜索“xcode”出來的頁面�,除了指向蘋果AppStore的那幾個鏈接,其余的都是通過各種id(除了coderfun�,還有使用了很多id,如lmznet�、jrl568等)在各種開發(fā)社區(qū)、人氣社區(qū)�����、下載站發(fā)帖,最終全鏈到了不同id的百度云盤上���。為了驗證�����,團(tuán)隊小伙伴們下載了近20個各版本的xcode安裝包�����,發(fā)現(xiàn)居然無一例外的都被植入了惡意的CoreServices.framework����,可見投放這些帖子的黑客對SEO也有相當(dāng)?shù)牧私狻?
小編推薦閱讀
