前言
這幾天安全圈幾乎被xcodeghost事件刷屏,大家都非常關注,各安全團隊都很給力,紛紛從不同角度分析了病毒行為、傳播方式、影響面積甚至還人肉到了作者資訊。拜讀了所有網上公開或者半公開的分析報告後,我們認為,這還不是全部,所以我們來補充下完整的xcodeghost事件。
由於行文倉促,難免有諸多錯漏之處,還望同行批評指正。
事件溯源
事情要追溯到一周前。
9月13日,產品團隊發布了新版本。同時考慮到事件影響面比較廣,我們立即知會了cncert,cncert也馬上採取了相關措施。所以從這個時間點開始,後續的大部分安全風險都得到了控制——可以看看這個時間點前後非法網域名稱在全國的解析情況。
(cncert發布的預警公告)
9月17日,嗅覺敏銳的國外安全公司paloalto發現了這個問題,並發布第一版分析報告,阿里移動安全也發布了分析報告。
被遺漏的樣本行為分析
上報的網域名稱是icloud-analysis.com,同時我們還發現了攻擊者的其他三個尚未使用的網域名稱。
(上傳機器資料的惡意**片段)
2)黑客可以下發偽協議命令在受感染的iphone中執行
黑客能夠通過上報的資訊區分每一台ios裝置,然後如同已經上線的肉雞一般,隨時、隨地、給任何人下發偽協議指令,通過ios openurl這個api來執行。
(控制執行偽協議指令的惡意**片段)
3)黑客可以在受感染的iphone中彈出內容由伺服器控制的對話方塊視窗
(控制遠端彈窗的惡意**片段)
4)遠端控制模組協議存在漏洞,可被中間人攻擊
在進行樣本分析的同時,我們還發現這個惡意模組的網路協議加密存問題,可以被輕易暴力破解。我們嘗試了中間人攻擊,驗證確實可以代替伺服器下發偽協議指令到手機,成為這些肉雞的新主人。
(存在安全漏洞的協議解密**片段)
值得一提的是,通過追查我們發現植入的遠端控制模組並不只乙個版本。而現已公開的分析中,都未指出模組具備遠端控制能力和自定義彈窗能力,而遠端控制模組本身還存在漏洞可被中間人攻擊,組合利用的威力可想而知。這個事件的危害其實被大大的低估了。
感染途徑
(被感染惡意**的xcode包路徑)
影響到底多大?
後記
經過這兩年若干次攻擊手法的洗禮後,我們更加清醒的意識到——
黑產從業者早已不是單兵作戰的指令碼小子,而是能力全面的黑客團隊。總結來看,移動網際網路安全之路任重道遠。當然,這裡的危機也是安全行業的機遇。
js ie8不支援項總結
不支援filter,trim 要用jquery 的 filter,trim 陣列不能用for in 要用for 陣列沒有indextof方法 不能使用關鍵字,如true default ie8 不會忽略陣列直接量的末尾空元素,如 1,2,這個陣列長度為3 html拼寫必須完全正確,不能少結尾標籤或多...
IE8不支援jQuery問題
最近做wordpress主題,遇到乙個很奇怪的問題,網頁在chrome等瀏覽器都顯示正常,但是到了ie8裡面就無法工作。提示 載入完畢,但網頁中有錯誤 嘗試修復ie瀏覽器,但是毫無效果。後來經過反覆排查,發現問題在於ie8不能執行jquery。網上找了很久也沒找到相關的文章。而且之前用過一些jque...
Mac10 15 4預設的XCode不支援SVN
提示資訊意思是 svn錯誤 xcode不再提供subversion版本管理工具,這裡刪掉整個工程即可。1 刪除應用程式 rm rf library developer commandlinetools2 使用brew安裝subverison brew install subversion如果提示br...