没有合适的资源?快使用搜索试试~ 我知道了~
Xcode 非官方版本恶意代码污染事件(XcodeGhost)的分析与综述1
需积分: 0 1 下载量 18 浏览量
2022-08-04
11:23:44
上传
评论
收藏 2.73MB PDF 举报
温馨提示
试读
38页
摘要Xcode 是由苹果公司发布的运行在操作系统 Mac OS X 上的集成开发工具(IDE),是开发 OS X 和 iOS应用程序的最主流工具。2015 年
资源详情
资源评论
资源推荐
首次发布时间:2015 年 09 月 20 日 22 时 00 分
本版本更新时间:2015 年 09 月 30 日 08 时 41 分
Xcode 非官方版本恶意代码污染事件(XcodeGhost)
的分析与综述
AVL TEAM&ANTIY CERT
摘要
Xcode 是由苹果公司发布的运行在操作系统 Mac OS X 上的集成开发工具(IDE),是开发 OS X 和 iOS
应用程序的最主流工具。
2015 年 9 月 14 日起,一例 Xcode 非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。攻
击者通过对 Xcode 进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,
建立开发环境。经过被污染过的 Xcode 版本编译出的 App 程序,将被植入恶意逻辑,其中包括向攻击者注
册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。
本事件由腾讯相关安全团队发现,并上报国家互联网应急中心,国家互联网应急中心发出了公开预警,
阿里安全研究员蒸米、Xundi 根据分析将这一事件称为“XcodeGhost”,这一名称被其他机构和研究者所沿
袭。PaloAlto Network、360、盘古、微步、i 春秋等安全厂商和团队机构,对事件进行了大量跟进分析、普
查和解读工作。有多个分析团队发现著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被同一作者进行了地下供
应链污染,因此会影响更多的操作系统平台。截止到本版本报告发布,尚未发现“XcodeGhost”组织对其
他更多开发环境的影响,但安天分析小组基于 JAVA 代码和 Native 代码的开发特点,同样发出了相关风险
预警。
截止到 2015 年 9 月 20 日,各方已经累计发现当前已确认共 692 种(如按版本号计算为 858 个)App
曾受到污染,受影响的厂商中包括了微信、滴滴、网易云音乐等著名应用。
从确定性的行为来看,尽管有些人认为这一恶意代码窃取的信息“价值有限”,但从其感染面积、感染
数量和可能带来的衍生风险来看,其可能是移动安全史上最为严重的恶意代码感染事件,目前来看唯有此
前臭名昭著的 Carrier IQ 能与之比肩。但与 Carrier IQ 具有强力的“官方”推广方不同,这次事件是采用了
非官方供应链(工具链)污染的方式,其反应出了我国互联网厂商研发“野蛮生长”,安全意识低下的现状。
长期以来,业界从供应链角度对安全的全景审视并不足够,但供应链上的各个环节,都有可能影响到最终
产品和最终使用场景的安全性。在这个维度上,开发工具、固件、外设等“非核心环节”的安全风险,并
不低于操作系统,而利用其攻击的难度可能更低。因此仅关注供应链的基础和核心环节是不够的,而同时,
我们必须高度面对现实,深刻分析长期困扰我国信息系统安全的地下供应链问题,并进行有效地综合治理。
目 录
1 背景...................................................................................................................................................................... 1
2 作用机理与影响 ................................................................................................................................................... 1
2.1 作用机理 ............................................................................................................................................................. 2
2.1.1
样本信息
..................................................................................................................................................... 2
2.1.2
感染方式
..................................................................................................................................................... 4
2.1.3
危害分析
..................................................................................................................................................... 7
2.1.4
中间人利用
............................................................................................................................................... 12
2.2 影响面分析 ....................................................................................................................................................... 13
3 扩散、组织分析 .................................................................................................................................................. 14
3.1 传播分析 ........................................................................................................................................................... 14
3.2 攻击者情况猜测 ............................................................................................................................................... 17
3.3 开发环节的安全问题分析................................................................................................................................ 18
3.3.1 Mac&iOS app
签名方式
................................................................................................................................ 18
3.3.2 Mac
上官方签名工具
codesign
验证
App
方式
........................................................................................... 18
3.3.3
官方推荐
Xcode
验证工具
spclt ............................................................................................................... 20
4 ANDROID 风险预警 ............................................................................................................................................. 22
4.1 预警背景 ........................................................................................................................................................... 22
4.2 JAVA 代码开发生产环境的风险 ....................................................................................................................... 24
4.3 NATIVE 代码开发生产环境的风险 ..................................................................................................................... 24
5 全景的安全视野才能减少盲点 ........................................................................................................................... 24
外一篇:我们的检讨 .................................................................................................................................................. 26
附录一:参考资料 ...................................................................................................................................................... 27
附录二:事件时间链与相关链接 ............................................................................................................................... 28
附录三:报告版本演进、封版说明 ........................................................................................................................... 33
附录四:关于安天 ...................................................................................................................................................... 34
Xcode 非官方版本恶意代码污染事件(XcodeGhost)的分析与综述
©安天版权所有,欢迎无损转载 第 1 页
1 背景
Xcode 是由苹果公司开发的运行在操作系统 Mac OS X 上的集成开发工具(IDE),是开发 OS X 和 iOS
应用程序的最快捷的方式,其具有统一的用户界面设计,同时编码、测试、调试都在一个简单的窗口内完
成。
[1]
自 2015 年 9 月 14 日起,一例 Xcode 非官方供应链污染事件在国家互联网应急中心发布预警后,被广
泛关注。攻击者通过对 Xcode 进行篡改,加入恶意模块,进行各种传播活动,使大量开发者获取到相关上
述版本,建立开发环境,此时经过被污染过的 Xcode 版本编译出的 App 程序,将被植入恶意逻辑,其中包
括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。
本事件由腾讯相关安全团队发现,并上报国家互联网应急中心,国家互联网应急中心发出了公开预警,
阿里安全研究员蒸米、Xundi 根据分析将这一事件称为“XcodeGhost”,这一名称被其他机构和研究者所沿
袭。PaloAlto Network、360、盘古、微步、i 春秋等安全厂商和团队机构,对事件进行了大量跟进分析、普
查和解读工作。截止到 2015 年 9 月 20 日,各方已经累计发现共 692 种(如按版本号计算为 858 个)App
确认受到感染。同时有多个分析团队发现著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被同一作者进行了地
下供应链污染,因此会影响更多的操作系统平台,但对上述两部分的感染影响目前还没有有效评价。综合
现有分析,从其感染面积、感染数量和可能带来的衍生风险来看,这次事件可能是移动安全史上最为严重
的恶意代码感染事件之一,从影响范围上来看能与之比肩的仅有此前臭名昭著的的 Carrier IQ
[2]
。
鉴于此事态的严重性,安天安全研究与应急处理中心(Antiy CERT)与安天移动安全公司(AVL Team)
组成联合分析小组,结合自身分析进展与兄弟安全团队的分析成果,形成此报告。
2 作用机理与影响
安天根据 Xcode 非官方供应链污染事件的相关信息形成了图 2-1,其整体污染路径为官方 Xcode 被攻击
者植入恶意代码后,由攻击者上传到百度云网盘等网络位置,再通过论坛传播等方式广播下载地址,导致
被 App 开发者获取,同时对于攻击者是否利用污染下载工具的离线下载资源通过用户下载中的加速重定向
方式扩大散布,也有较多猜测。有多个互联网公司采用被污染过的 Xcode 开发编译出了被污染的 App,并
将其提交至苹果 App Store,且通过了苹果的安全审核,在用户获取相关 App 进行安装使用后,相关 收到
污染的应用回传信息至攻击者指定域名,并留下了弹窗钓鱼和远程控制入口。
Xcode 非官方版本恶意代码污染事件(XcodeGhost)的分析与综述
©安天版权所有,欢迎无损转载 第 2 页
图 2-1 Xcode 非官方供应链污染事件示意图
2.1 作用机理
2.1.1 样本信息
文件名:CoreService
位于 Xcode 位置:(iOS、iOS 模拟器、MacOSX 三个平台)
./Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framewor
k/CoreService
./Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.fra
mework/CoreService
./Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framewor
k/CoreService
样本形态:库文件(iOS、iOS 模拟器、MacOSX 三个平台)
剩余37页未读,继续阅读
滕扬Lance
- 粉丝: 20
- 资源: 304
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0