這也許是果粉最漫長又最黑暗的一個周末。
9月18日的蘋果Xcode惡意代碼事件鬧得沸沸揚揚,讓人不禁愕然:蘋果終于也淪陷了嗎?事件發生后,各種安全團隊也很給力,馬不停蹄橫看成嶺側成峰地各種分析,公開半公開的分析報告迷花亂眼。i春秋、騰訊玄武實驗室、360實驗室作為國內最著名的三家安全研究機構也迅速反應,對此事件做出了更為詳細的總結,并發表了獨家看法,且看他們如何說。
首先來回顧一下XCodeGhost事件。
· 騰訊應急響應中心(TSRC)最先發現了這一問題,并在9月11日及時發布了微信更新。
· 9月14日,CNCERT發布了一個安全公告,警告非官方的若干版本的Xcode程序包(蘋果系統的軟件開發包)被做了惡意的修改被并故意大范圍散發誘導使用,經由這個Xcode開發包編譯的蘋果系統程序會被植入惡意代碼。
· 9月17日國外安全公司Palo Alto Networks的研究員發布一個對相關惡意代碼的跟蹤報告,確認了問題的存在,明確了更多的技術細節。
同時,數十個iOS App被證明受此影響,其中不乏有使用率極高的12306手機客戶端、滴滴打車(已更名為滴滴出行)、中信銀行行動卡空間、高德地圖、網易云音樂、中國聯通手機營業廳等數十個APP被此開發工具感染。
在此期間,9月16日,騰訊玄武實驗室人員發現AppStore上的TOP5000應用有76款被感染,并向蘋果官方及大部分受影響的廠商同步了這一情況。
9月18日,360公司對事件做了深入的挖掘,定位到了始作俑者,對惡意代碼做了完全的分析,重現了可能的攻擊場景。
360:疑點重重,為你撥云開霧
此前,一個名為“XcodeGhost-Author”的ID在微博上發表聲明,聲稱“所謂的‘XcodeGhost’,以前是一次錯誤的實驗,以后只是徹底死亡的代碼而已。”
但是360安全團隊迅速提出質疑:“你的解釋很無力,一切都太蓄意,時間也對不上,隱藏自己,變換身份的行為也充分反駁了你的解……”
究竟是誰揮刀斬蘋果?攻擊者的目的又是什么?此次行為是孤軍作戰還是團隊蓄謀?疑點重重之下,360為我們撥云開霧。
在得知事件的第一時間,360企業安全天眼實驗室已經立即把相關的威脅情報加入到天眼系統的可機讀威脅情報集(IOC)中,目前客戶處的天眼系統只要升級威脅情報集就能即時發現受惡意代碼影響的系統。
360威脅情報中心對惡意代碼所使用的網絡基礎設備做了深入的挖掘關聯,得到了大量相關的信息,包括關聯的域名、注冊信息、訪問來源等,為最終定位攻擊者提供了必要的數據支持。
通過查詢360威脅情報中心的云端數據,發現被植入到應用程序中的后門所連接的C&C服務器的3個主要域名之一的init.icloud-analysis.com 最早在3月4日就被訪問。通過監測架設了天眼系統的大流量生產實驗環境的數據,360還發現近半年來已有大量IP地址訪問過XcodeGhost木馬的C&C域名服務器,說明在現實網絡環境中已經有了大量感染情況發生,這些數據絕大多數來自于企業內通過無線共享程序連接到PC上的手機系統。
對此,360建議,如果內網中有程序可以主動外聯黑客的C&C服務器,也就意味著黑客可以很輕松的向內網植入更多地木馬,發起下一步的滲透攻擊。對于企業內部員工,建議發起對于自己的蘋果設備(iPhone或iPad)的自查工作;對于提供蘋果App軟件的企業,建議使用一些安全解決方案來進行檢測;為防止威脅擴大,檢查并關閉企業內存在的私建WIFI熱點,對于企業內的官方WIFI熱點加強管理和監控。
i春秋:快去改密碼!
根據i春秋學院信息安全專家李肖介紹,攜帶惡意代碼的Xcode壓縮包文件先是被發布到了Douban, SwiftMi, CocoaChina, OSChina等幾個論壇網站,然后又在百度云出現了大量下載文件。此外,它還成功感染了迅雷的離線服務器,也就是說,如果程序員常用下載軟件是迅雷的話,就算輸入蘋果官網的地址下載下來的dmg仍然有可能是被修改過的。
應該承認,這種直接把惡意代碼嵌入了開發工具源頭的另類傳播方式讓其在傳播廣度上獲得了非常好的效果——初步估計,目前受影響的用戶已經達到數億級別。
永信至誠創始人、被稱為國內白帽黑客之父的蔡晶晶在接受采訪時稱,這次事件足以載入移動安全的史冊,其對蘋果開發工具感染的技巧堪與著名的伊朗鈾濃縮設備被蠕蟲損壞的震網事件相提并論。
用戶如何去規避?i春秋認為最簡單的方法就是改密碼。盡管目前已經查明上傳的數據內容并不算勁爆,但Apple ID是肯定已有泄露,因此用戶需要盡快修改iCloud的密碼。而且襲擊者的目的并不明確,為防止未來的損失,尤其是用戶如果有其他信息與之綁定,特別是涉及個人隱私,需得盡快處理。
i春秋認為不僅要對事件始末進行追溯,最重要的還是要進行反思。i春秋認為,這件事情罪最需要引起反思的是國內的企業程序員和開發團隊。雖然問題的直接原因是程序員未能嚴謹地使用經過校檢的Xcode開發工具,但企業開發團隊流程的疏漏、開發人員安全觀念的淡薄,尤其是企業內部安全管控審核不嚴才是更深層次的因素。所有的開發公司和開發者都需要引以為戒,安全隱患一直潛伏待發。
騰訊玄武:給你一份最完整的XCodeGhost事件報告
騰訊玄武在19日公布這份報告之前,拜讀了各種有關病毒行為、傳播方式、影響面積甚至還有攻擊者人肉信息的分析報告,居然還聲稱這些都不是最完整的,于是乎,這份堪稱是最完整的XCodeGhost事件回溯分析報告就出爐了。
玄武實驗室對事件始末、被遺漏的樣本行為分析、感染途徑、影響面這四個方面對XCodeGhost事件進行了具體分析。
騰訊安全團隊稱:通過百度搜索“xcode”出來的頁面,除了指向蘋果AppStore的那幾個鏈接,其余的都是通過各種id(除了coderfun,還有使用了很多id,如lmznet、jrl568等)在各種開發社區、人氣社區、下載站發帖,最終全鏈到了不同id的百度云盤上。為了驗證,團隊小伙伴們下載了近20個各版本的xcode安裝包,發現居然無一例外的都被植入了惡意的CoreServices.framework,可見投放這些帖子的黑客對SEO也有相當的了解。
在受感染的APP啟動、后臺、恢復、結束時上報信息至黑客控制的服務器;黑客可以下發偽協議命令在受感染的iPhone中執行,在受感染的iPhone中彈出內容由服務器控制的對話框窗口,這兩點足以說明該程序具有竊密性。
騰訊安全團隊稱:“經過這兩年若干次攻擊手法的洗禮后,我們更加清醒地意識到,黑產從業者早已不是單兵作戰的腳本小子,而是能力全面的黑客團隊。總結來看,移動互聯網安全之路任重道遠。當然,這里的危機也是安全行業的機遇。”
欲讀報告完整版:http://security.tencent.com/index.php/blog/msg/96
編者觀點:
此次XCode事件的惡意影響堪稱iOS應用史上之最大。果黑把罪過推到蘋果身上:如若不是直接訪問蘋果官方站點下載Xcode太慢,許多程序員也不會為了方便,不選擇從蘋果網站直接下載官方提供的Xcode,而是選擇從各大論壇、網盤上找第三方資源提供的Xcode程序。
而蘋果真愛粉誓死捍衛蘋果的尊嚴:Xcode作為iOS APP的開發編譯工具,是被別有用心的人植入了惡意代碼。而且既然有官方途徑,你們這群愚蠢的人類為什么還要選擇在網盤或者論壇下載開發工具呢?自己吃不了豬肉反而還怪豬肉難吃?簡直自作自受。
佛說,凡事皆有因果。小編以為,這次事件是要引起足夠的擔憂,但不至于炒得過頭,引起不必要的恐慌。最重要的是,萬不可偏頗一方,安全本是相對而言的,無絕對安全之事,也無絕對隔緣之物。責難與謾罵倒不如反思與自省,反思與自省又不如實際做出改變。國內安全團隊在天花亂墜的文字分析的同時,如何從行動上真正為用戶負責才是值得去思量的。
京公網安備 11010502049343號