本文講的是利用威脅情報精準鎖定XcodeGhost失陷手機,9月14日,國家網際網路應急中心CNCERT釋出預警通告,目前最流行的蘋果應用程式編譯器XCODE被植入了惡意代碼(XcodeGhost)。開發者使用非蘋果公司官方管道的XCODE工具開發蘋果APP時,就有可能向該APP中植入惡意代碼。由于XCODE的廣泛應用,預計将會有超過一億部iOS移動終端受到影響。
XcodeGhost是如何控制上億部iOS裝置的
使用者在iOS裝置上安裝了被感染的APP後,裝置在接入網際網路時APP會回連惡意URL位址init.icloud-analysis.com,并向該URL上傳敏感資訊(如裝置型号、iOS 版本):
回連的C&C伺服器會根據擷取到的裝置資訊下發控制指令,進而完全控制裝置,可以在受控裝置上執行打開網頁、發送短信、撥打電話、打開裝置上所安裝的其他APP等操作。由于蘋果應用商店是個相對封閉的生态系統,使用者一般都會充分信任從應用商店下載下傳的APP,是以此次事件的影響面和危害程度前所未有,有可能是蘋果有史以來所面臨的最嚴重的安全危機。
XcodeGhost失陷手機檢測過程回放
慧眼雲可以識别企業WiFi網絡中所有接入的移動終端裝置并記錄其網絡連接配接行為。通過與該惡意URL相關的威脅情報,就可以檢測出已經被感染的移動終端裝置,并基于網康的使用者和應用識别能力,進一步确定被感染使用者及其所使用的APP。
Step 1 通過威脅情報和異常行為分析,發現失陷的手機
Step 2 檢測該手機的威脅活動
Step 3 威脅活動詳情,可以看到大量到init.icloud-analysis.com的連接配接
Step 4 确定失陷終端後,基于使用者和應用識别,準确鎖定使用者和被感染的APP
與大多數安全廠商從分析被感染的APP入手不同,網康利用慧眼雲的威脅情報生成能力,以被感染APP所産生的惡意流量為線索檢測失陷手機,并借助網康在應用識别(尤其是移動應用識别)方面的技術優勢精準鎖定失陷手機中産生惡意流量的APP。
事實再次證明,無論惡意行為如何隐藏,終究會留下蛛絲馬迹。也許終端無法檢測,但通過雲和大資料技術對異常行為做深度關聯分析,隐秘的地下行為終究無可遁形。
原文釋出時間為:九月 22, 2015
本文作者:aqniu
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛。