一個月之前,蘋果發布公告稱iOS設備被XcodeGhost惡意軟件感染,并迅速將受影響應用下架并更新版本。
日前,FireEye安全研究員通過持續監控用戶網絡發現,XcodeGhost的影響并沒有停止,而是通過修改后保持了影響的持久性,該變種被稱為XcodeGhost S。
XcodeGhost S的影響有以下幾點:
惡意軟件已經感染美國企業,并存在持久的安全風險
部分僵尸網絡仍然活躍
可能存在尚未檢測到的其他變種
XcodeGhost影響統計
通過連續四周對XcodeGhost的監控發現,有210家企業的網絡中運行了XcodeGhost感染的應用,共統計28,000次XcodeGhost Command and Control(C&C)服務器的連接嘗試,這表明影響范圍仍然很廣。
圖一 受XcodeGhost影響前五的國家
圖二 受XcodeGhost影響前五的行業
圖三 受XcodeGhost影響前20的應用
盡管大部分廠商已經更新了應用商店中的應用程序,仍然有很多用戶使用受感染的舊版本,這些版本分布在多個應用程序中。
圖四 WeChat和網易云音樂受影響版本的使用情況
經調查,70%的用戶使用的是iOS舊版本,為了避免持續感染,蘋果用戶應該盡快升級到最新的iOS 9版本。
圖五 運行受影響應用的iOS版本分布
許多公司已經采取措施,阻止企業網絡中的XcodeGhost DNS查詢,以切斷用戶手機和攻擊者的C&C服務器的連接,但是當手機端的系統或應用更新時,這些措施就失效了。
結合調查數據,我們可以肯定XcodeGhost事件的影響仍然持續。
XcodeGhost S影響iOS 9
根據對目前檢測到的XcodeGhost和XcodeGhost S樣本的研究,發現XcodeGhost S中已經添加了感染iOS 9和繞過靜態檢測的功能。
iOS 9中引入了NSAppTransportSecurity方法提高客戶端和服務器端的連接安全。通常情況下,iOS 9中只允許安全的連接(即帶密碼的https),因此使用http的XcodeGhost便不能再連接服務器了,在該層面上,iOS 9應該是非常安全的。但是,關鍵就在于開發者在Info.plist中使用NSAllowsArbitraryLoads方法添加了例外,允許http連接,XcodeGhost S就可以讀取并根據NSAllowsArbitraryLoads中的設置選擇不同的C&C服務器。另外,XcodeGhost S通過一種新穎的技術來掩蓋其C&C服務器,其代碼中不再使用硬編碼地址,而是轉而采用了按字符來組裝的URL。
目前,已檢測到一款名為“自由邦”的購物軟件被感染,該軟件主要供旅行者使用,在美國和中國應用商店中均可找到。
總結
XcodeGhost是目前蘋果面臨的重大危機,影響范圍廣,持續時間長,應該得到廣大用戶的充分重視。企業和組織應該及時通知其員工XcodeGhost惡意軟件的危害,并及時更新和卸載。軟件開發公司應該及時檢測XcodeGhost及XcodeGhost變種,以防止更多的受感染的應用流入市場。
京公網安備 11010502049343號