一、感染XcodeGhost木馬APP

360NirvanTeam連夜掃描了14萬5千多個app，共發現344款app感染XcodeGhost木馬，其中不乏有百度音樂，微信，高德， 滴滴，花椒，58同城，網易云音樂，12306，同花順，南方航空，工行融e聯，重慶銀行用戶量很廣的app，涉及互聯網、金融、鐵路航空、游戲等領域，具體請看受感染APP詳細list。

二、攻擊方式及來源

通過向IDE中植入惡意代碼，進而通過IDE向其編譯、生成的應用中插入惡意代碼，惡意程序的主要來源：百度網盤、迅雷等第三方平臺。

三、問題描述

從第三方源下載的 Xcode(蘋果平臺IDE) 被植入惡意代碼，使用受感染的Xcode編譯、生成的應用中會被植入后門。

間接影響 Xcode 支持的所有平臺，包括：iOS，iPhone 模擬器，Mac OS X，目前受影響最大的是 iOS 平臺。

被植入惡意代碼的iOS應用會向服務器上傳信息，具體信息包括：時間、應用名字、應用標識ID、設備名字與類型、系統區域及語言、設備唯一標識UUID、網絡類型。

四、xcode樣本分析

xcode樣本下載http://yunpan.cn/cHfMAZY8DA356 (提取碼：39e0)

正常的xcode目錄結構中SDKs目錄下沒有Library目錄，被種植惡意木馬的Xcode中包含了惡意的CoreService庫文件，目錄結構如下：

Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService

　　惡意Xcode影響范圍：

從樣本上分析，影響 Xcode v6.1 - v6.4，但是理論上可以影響 Xcode 的所有版本。

　　影響平臺ios，ios模擬器，macox X86 或者x86_64位多版本。

五、蘋果官方appstore微信6.2.5樣本分析

微信6.25樣本 http://yunpan.cn/cHfMy5WXVbcQM (提取碼：b7b3)

抓包查看如下：

　　逆向分析connection函數發送的網站地址：

　　六、越獄平臺微信搶紅包插件分析

插件樣本 http://yunpan.cn/cHfMTQ9tRmbjY (提取碼：e6d7)

在上次分析過紅包插件盜取22萬icloud信息的插件后發現在此插件上還隱藏著另一個后門，盜號插件也中了xcode木馬，紅包插件名稱為iwexin.dylib。

使用別篡改的XCode會加載coresevice庫文件，在編譯出的APP或dylib包含了如下頭文件的頭文件，所有的惡意函數隱藏其中:

通過分析使用惡意XCode編譯的iwexin.dylib啟動時執行如下類中的函數進行收集信息并發送，如下為發送消息至服務器的.h文件和類

　　通過反編譯查看惡意代碼收集信息分別為：

國家，語言，設備信息，系統版本，時間戳，app的bundleID

以下為收集設備信息的.h文件和類：

　　以下是ida中查看的獲取設備等信息的關鍵代碼

在ida中查看到主要惡意代碼關鍵部分如下，隨著程序啟動開始執行，獲取設備信息發送信息至init.icloud-analysis.com

　　七、檢測方法

如果 Xcode 中存在如下文件與目錄，即可認為受感染：

1 Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，針對 iOS

2 Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，針對 iOS

3 Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，針對 iPhone 模擬器

4 Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，針對 iPhone 模擬器

5 Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService，針對 Mac OS X

6 Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework，針對 Mac OS X 7

八、解決方案

1、高優先級檢測所有編譯服務器、自動發布服務器中的 Xcode 是否被感染。

2、開發者需要檢查系統中所有版本的 Xcode 是否被感染。

3、如果受感染，首先刪除受感染的 Xcode，然后從 Mac AppStore 或者從開發者中心下載 Xcode。

4、如果線上的應用是用受感染的 Xcode 發布的過，請使用官方的 Xcode 清理、重新編譯應用，然后上傳 AppStore，盡量向蘋果說明情況，從而走 AppStore 的緊急上線流程。