专栏首页FreeBuf涅槃团队:Xcode幽灵病毒存在恶意下发木马行为

涅槃团队:Xcode幽灵病毒存在恶意下发木马行为

我们还原了恶意iOS应用与C2服务器的通信协议,从而可以实际测试受感染的iOS应用有哪些恶意行为。

最后,我们分析了攻击的发起点:Xcode,分析了其存在的弱点,以及利用过程,并验证了该攻击方法。

一、恶意行为与C2服务器

1、通信密钥分析

恶意程序将其与服务器通信的数据做了加密,如下图所示:

密钥的计算方法:

通过分析,密钥为:stringWi,生成密钥的方式比较有迷惑性。

2、恶意行为分析

恶意行为一:做应用推广‍

方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。

我们逆向了恶意代码与C2服务器的通信协议,搭建了一个测试的C2服务器。然后通过C2服务器可以控制客户端安装第三方应用(演示应用为测试应用,不代表恶意软件推广该应用),见视频:

这是第一个针对 XcodeGhost 能力的视频演示

恶意行为二:伪造内购页面‍

相关代码如下:

恶意行为三:通过远程控制,在用户手机上提示‍

二、Xcode 的弱点及利用

1、Xcode 的利用过程描述

Xcode 中存在一个配置文件,该配置文件可以用来控制编译器的链接行为,在受感染的Xcode中,该文件被修改,从而在链接阶段使程序链接含有恶意代码的对象文件,实现向正常iOS应用中注入恶意代码的目的。

被修改的文件内容如下:

从上图可以看到,程序会链接恶意对象文件 CoreService。

从链接过程的Log中可以看到其实如何影响链接过程的:

注:实际上可以让CoreService从文件系统中消失,且在链接Log中没有任何额外信息。

通过在配置文件中添加的链接选项,在工程的编译设置中无法看到,这就增加隐蔽性:

2、对恶意代码 CoreService 的分析

首先 CoreService 的文件类型为:Object,即对象文件。

查看 CoreService 中的符号,可以看到:

导入的符号有:

3、验证概念

首先编写一个ObjC的类,测试如下图:

制作出对象文件ProteasInjector.o,然后用这个文件替换掉CoreService文件,编译程序,然后反汇编,结果如下:

可以看到代码被注入到应用中。

本文是 360 Nirvan Team 团队针对 XcodeGhost 的第二篇分析文章。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-09-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 螳螂捕蝉黄雀在后,免费散播Cobian远控工具背后的秘密

    天下没有免费的午餐。 这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道,很多号称黑客“瑞士军刀”的工具都是骗人的。 最近,多...

    FB客服
  • 地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

    一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

    FB客服
  • 色情网站的光棍节“福利”:加密式挂马玩转流氓推广

    双十一前夜,还想着通过同城交友或是某些不可描述的网站一解单身的烦恼?别急,不妨先来看看这些网站给光棍发的“福利”! 最近,360安全中心监测到一起网站弹窗广告挂...

    FB客服
  • Python爬虫音频数据

    ? ? 一:前言 本次爬取的是喜马拉雅的热门栏目下全部电台的每个频道的信息和频道中的每个音频数据的各种信息,然后把爬取的数据保存到mongodb以备后续使用。...

    小小科
  • 软件性能测试(连载19)

    [29] APM(Application Performance Management)是一种应用性能监控工具,通过汇聚业务系统的各个处理环节的实时数据,分析...

    小老鼠
  • 一次生产环境mysql迁移操作(二)mysql空间释放(碎片整理)

    上文中增加了定时归档,现在一些大表磁盘空间一直不释放,导致数据库文件越来越大。现在介绍下数据导入导出方案。

    一笠风雨任生平
  • Webpack 5 Module Federation: JavaScript 架构的变革者

    Module Federation [ˌfedəˈreɪʃn] 使 JavaScript 应用得以在客户端或服务器上动态运行另一个 bundle 或者 buil...

    ConardLi
  • “空姐遇害案”引出的一份数据报告:打脸地域黑、黑车最危险、23点以后乘车最不安全

    空姐打滴滴顺风车遇害案虽然以嫌疑人溺亡结案告一段落,但是这一悲剧引发的舆论纷争仍在发酵。部分媒体因不当言论引发网民声讨,此外,一些刺耳的声音,如“河南人如何如何...

    顶级程序员
  • “空姐遇害案”引出的一份数据报告:打脸地域黑、黑车最危险、23点以后乘车最不安全

    空姐打滴滴顺风车遇害案虽然以嫌疑人溺亡结案告一段落,但是这一悲剧引发的舆论纷争仍在发酵。部分媒体因不当言论引发网民声讨,此外,一些刺耳的声音,如“河南人如何如何...

    小莹莹
  • 6款因“主密钥漏洞”受感染的Android应用

    安全公司赛门铁克在自己的官方博客上发表文章,称首度发现 6 款因为 Android“主密钥”漏洞而受到感染的应用,均来自中国,且为同一攻击者,但是...

    安恒信息

扫码关注云+社区

领取腾讯云代金券