fireeye指出,新版xcodeghost已明确更新,以支援ios 9中新增的特性。與此同時,它還增加了新的機制,已避免自己被檢測到。
特别的,xcodeghost s已被修改規避https通訊的限制。作為ios 9上的強制性要求,它原本可以阻絕xcodeghost與指令控制伺服器(c&c server)之間的傳輸。
此外,為了避免被基于靜态檢測的安全工具所發現,xcodeghost現已認證一種新穎的技術來掩蓋其c&c伺服器。其代碼中不再使用寫死位址,而是轉而采用了按字元來組裝的url。
受xcodeghost影響的組織分布。
fireeye表示,app store至少已經有一款新應用已經被感染了xcodeghost s。這款應用的名稱叫做“自由邦”,作為一款購物app,其主要面向美國和中國使用者,不過這家公司已經配合蘋果将之撤下。
除了新版xcodeghost s,fireeye還發現舊版xcodeghost已經将目光瞄向了美國的企業,受影響的機構集中在教育、高科、制造、通信、電商、以及金融等領域。
fireeye團隊總結道:“盡管大多數供應商已經更新了app store上的應用,但也有資料表明仍有不少活躍使用者在使用舊版受感染的應用版本,且它們分布與各個領域”。
作者:何妍
來源:51cto