专栏首页FreeBufXcodeGhost S | 变种带来的又一波影响

XcodeGhost S | 变种带来的又一波影响

一个月之前,苹果发布公告称iOS设备被XcodeGhost恶意软件感染,并迅速将受影响应用下架并更新版本。

日前,FireEye安全研究员通过持续监控用户网络发现,XcodeGhost的影响并没有停止,而是通过修改后保持了影响的持久性,该变种被称为XcodeGhost S。

XcodeGhost S的影响有以下几点:

· 恶意软件已经感染美国企业,并存在持久的安全风险 · 部分僵尸网络仍然活跃 · 可能存在尚未检测到的其他变种

XcodeGhost影响统计

通过连续四周对XcodeGhost的监控发现,有210家企业的网络中运行了XcodeGhost感染的应用,共统计28,000次XcodeGhost Command and Control(C&C)服务器的连接尝试,这表明影响范围仍然很广。

图一 受XcodeGhost影响前五的国家

图二 受XcodeGhost影响前五的行业

图三 受XcodeGhost影响前20的应用

尽管大部分厂商已经更新了应用商店中的应用程序,仍然有很多用户使用受感染的旧版本,这些版本分布在多个应用程序中。

图四 WeChat和网易云音乐受影响版本的使用情况

经调查,70%的用户使用的是iOS旧版本,为了避免持续感染,苹果用户应该尽快升级到最新的iOS 9版本。

图五 运行受影响应用的iOS版本分布

许多公司已经采取措施,阻止企业网络中的XcodeGhost DNS查询,以切断用户手机和攻击者的C&C服务器的连接,但是当手机端的系统或应用更新时,这些措施就失效了。

结合调查数据,我们可以肯定XcodeGhost事件的影响仍然持续。

XcodeGhost S影响iOS 9

根据对目前检测到的XcodeGhost和XcodeGhost S样本的研究,发现XcodeGhost S中已经添加了感染iOS 9和绕过静态检测的功能。

iOS 9中引入了NSAppTransportSecurity方法提高客户端和服务器端的连接安全。通常情况下,iOS 9中只允许安全的连接(即带密码的https),因此使用http的XcodeGhost便不能再连接服务器了,在该层面上,iOS 9应该是非常安全的。

但是,关键就在于开发者在Info.plist中使用NSAllowsArbitraryLoads方法添加了例外,允许http连接,XcodeGhost S就可以读取并根据NSAllowsArbitraryLoads中的设置选择不同的C&C服务器。另外,XcodeGhost S通过一种新颖的技术来掩盖其C&C服务器,其代码中不再使用硬编码地址,而是转而采用了按字符来组装的URL。

目前,已检测到一款名为“自由邦”的购物软件被感染,该软件主要供旅行者使用,在美国和中国应用商店中均可找到。

总结

XcodeGhost是目前苹果面临的重大危机,影响范围广,持续时间长,应该得到广大用户的充分重视。企业和组织应该及时通知其员工XcodeGhost恶意软件的危害,并及时更新和卸载。软件开发公司应该及时检测XcodeGhost及XcodeGhost变种,以防止更多的受感染的应用流入市场。

<参考链接,请阅读原文>

*原文:FireEye,编译/洛竹渲,内容有所修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:洛竹渲

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-11-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?

    随着XcodeGhost事件的持续发酵,安全圈在这个周末显得尤为热闹,各路消息、分析、猜测甚至“阴谋论”纷至沓来。技术调查、涉事厂商名单、补救措施,甚至对事件始...

    FB客服
  • 沙特利用APP监控女性出境,苹果、谷歌被指为帮凶

    一名十八岁的沙特少女 Rahaf Mohammed 声称遭受家人虐待而逃离到了泰国,这件事引发了全球多方的关注,甚至连谷歌、苹果也受到外界抨击,其背后牵涉的焦点...

    FB客服
  • 根据目标用户信息,Python生成WPA2密码字典

    如何根据目标WiFi的用户信息,用Python生成一份独特的WPA2密码表? 随着无线网络的不断发展,几乎所有场合都会覆盖WIFI信号,无论是公共地点还是家庭之...

    FB客服
  • 迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?

    随着XcodeGhost事件的持续发酵,安全圈在这个周末显得尤为热闹,各路消息、分析、猜测甚至“阴谋论”纷至沓来。技术调查、涉事厂商名单、补救措施,甚至对事件始...

    FB客服
  • Qt坐标绘图

    Qt中每一个窗口都有自己的一个坐标系,默认窗口左上角为坐标原点(0,0),然后水平向右依次增大(X轴),垂直向下依次增大(Y轴)。例如:

    阳光岛主
  • Centos 7使用 rpm 安装 MySQL 5.7

    首先还是将 mysql rpm 包上传至服务器,然后执行 rpm -Uvh 文件名

    Demo_Null
  • 坚持的力量:Facebook向Python3迁移的过程回顾

    Python3的使用量在过去几年有了明显增加,但它仍有很长的路要走。使用Python的大公司倾向于在其基础架构上运行Python2.7代码,Facebook也不...

    小小科
  • 从输入URL到页面加载发生了什么

    问题:在浏览器中输入URL到整个页面显示在用户面前时这个过程中到底发生了什么。仔细思考这个问题,发现确实很深,这个过程涉及到的东西很多。

    Java后端技术
  • 由一道让99%的程序员抓狂的招聘认知题说起认知测验的合理性设置

    近年来,因为人才管理被越来越多的企业重视,使用测评工具对候选人进行筛选成为了很多公司提高招聘效率、提升招聘精准率的手段,但是也存在着一些令人哭笑不得的情况。

    二号姬
  • 每天一道leetcode121-买卖股票的最佳时机

    给定一个数组,它的第 i 个元素是一支给定股票第 i 天的价格。 如果你最多只允许完成一笔交易(即买入和卖出一支股票),设计一个算法来计算你所能获取的最大利润...

    乔戈里

扫码关注云+社区

领取腾讯云代金券