一、前言
1、xcodeghost 的作者究竟是誰;
2、xcodeghost 的目的是什麼;
通過 threatbook 威脅情報關聯分析,我們挖掘出了 xcodeghost 背後控制者的相關資訊和其擁有的網路資產,以及 xcodeghost 與 keyraider、trojanspy 病毒的關聯。
二、事件回顧
9月12日,騰訊首先發現此問題,並通知 cncert;
9月17日,阿里移動安全發布首篇分析報告,並將此樣本命名為 xcodeghost;
9月18日,美國安全廠商 palo alto networks 發布分析報告;
threatbook 通過威脅情報分析,2023年3月 到 9月 間 xcodeghost 樣本中使用的網域名稱訪問增長趨勢如下:
三、xcodeghost 的作者是誰
雖然 xcodeghost 隱藏了其使用的三個網域名稱註冊資訊,但 threatbook 通過威脅情報關聯分析,揭示了 xcodeghost 背後控制者所擁有的網路資產:
threatbook 發現 xcodeghost 多個相關網域名稱註冊時所使用的身份為:
姓名:wang ****
郵箱:778***@qq.com,473***@qq.com
手機:132****520
座機:0532-6657****
網路支付帳號:473***@qq.com
常用網路身份:zhou ****,wang****,**** wang;
其中,778***@qq.com 帳號曾被山東某高校學生使用 (不排除身份冒用的可能性)。
四、xcodeghost 的目的是什麼
分析顯示,xcodeghost **完全具備隨時進行惡意行為的能力,不過到目前為止,尚無證據證明 xcodeghost 被用於除收集資訊以外的惡意行為,但整個事件仍存在幾個疑點:
疑點一:xcodeghost 與 keyraider 的關係
今年 8月,paloalto networks 曾披露過代號為 keyraider 的惡意程式盜取了 225000 個 apple 帳號,報告中提到 keyraider 曾向 icloud-analysis.com 傳送資訊。
有兩種可能性:
1、xcodeghost 與 keyraider 是同一作者;
2、keyraider 作者在 2023年2 至 8月 間也使用了感染 xcodeghost 的開發環境;
**分析結果表明第二種可能性較大;
疑點二:xcodeghost 與流行的 pc 木馬病毒 trojanspy 的關係
2023年3 至 9月 期間,與 xcodeghost 相關的網域名稱 icloud-analysis.com 和 allsdk.org 都曾指向 ip 位址 50.63.202.48,threatbook 通過威脅情報關聯分析發現,同一時間段內超過七成的寄生於此 ip 位址的木馬病毒屬於 trojanspy 家族。
例如:此木馬變種 trojanspy:win32/nivdort.y 經 virusbook 安全分析雲鑑定 ,被 70%的防毒軟體識別為惡意程式
因此,xcodeghost 作者有可能還參與了其它 pc 端木馬的構建,亦或 trojanspy 與 xcodeghost 因為巧合使用了同乙個 ip 位址。
android SQLite疑點分析
當我們從乙個資料來源去查詢資料會用到下面的查詢方法,db.query db.rawquery db.exesql 這些方法的構造引數都不一樣,甚至有的方法還是多型的,這裡不對每個方法的多型做具體說明,只是簡單的說一下這些方法的區別是什麼 db.query 首先這是個查詢資料的,返回游標,游標裡面包含...
vuex的疑點理解
理解成 把多個元件中共享的變數全部儲存到乙個物件裡面,然後將這個物件放到頂層的vue例項中,這樣多個元件就可以共享這個物件中的所有變數屬性,類似於倉庫,類似於前端資料庫 其它語言中的單例模式,也正如這樣的思想 為什麼會產生了vuex?乙個物件如何被所有元件共享呢?所有的元件都繼承vue的乙個原型,所...
Swift疑點解決(2)
關於swift中的string型別,string是乙個結構體型別包含字串的unicode但是長度沒法算,同樣沒有length方法。怎麼辦使用 varastring 1234 varlen astring asnsstring length println len len 同理 varanarray ...