XCodeGhost源码:
https://github.com/XcodeGhostSource/XcodeGhost
XCodeGhost攻击原理:
从传统的利用应用漏洞攻击转为利用编程语言灵活性及开发工具配置修改的攻击,攻击手法隐蔽,攻击代码逆向分析非常具有迷惑性。
#本次攻击不是利用某个应用的漏洞进行攻击,而是修改XCode软件的加载动态库配置文件(具体哪个文件不介绍了,毕竟知道的人越少越好),使得所有使用被修改过的XCode软件开发的APP都被感染。
#利用Object-C的扩展类功能从而重写UIWindow父类的makeKeyAndVisible函数,从而导致在系统应用启动时调用自己写的makeKeyAndVisible函数从而启动恶意代码。其它面向对象语言如Java,C++没有此功能。
XCodeGhost检查及防范:
1、检查Xcode
检测方式是恶意 Xcode 包含有如下文件:
/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
正常的 Xcode 下面无 Library 目录,为如下形式:
/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/
命令查找
find /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs –name "CoreService"
为了防止app被插入恶意库文件,开发者除了检测”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的framework文件之外,还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths中的设置。看看是否有可疑的frameworks混杂其中:
另外因为最近iOS dylib病毒也十分泛滥,为了防止开发者中招,支付宝的小伙伴还提供了一个防止被dylib hook的小技巧:在Build Settings中找到“Other Linker Flags”在其中加上”-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null”即可。
很多开发者们担心最近下载的Xcode 7也不安全。这里笔者没有使用任何下载工具的情况在苹果官网上下载了Xcode_7.dmg并计算了sha1的值。
http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg
$ shasum Xcode_7.dmg
4afc067e5fc9266413c157167a123c8cdfdfb15e Xcode_7.dmg
建议从mac app store下载Xcode,检查Xcode来源:终端执行
spctl --assess --verbose /Applications/Xcode.app
如果 Xcode 从 Mac App Store 下载,会返回:
/Applications/Xcode.app: accepted
source=Mac App Store
如果从苹果开发者网站下载会返回:
/Applications/Xcode.app: accepted
source=Apple
或:
/Applications/Xcode.app: accepted
source=Apple System
2、检查app,framework
find . -type f |xargs grep "http://init.icloud-analysis.com"
参考:
XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警
参考ppt(附件)
相关推荐
该文档来自MDCC 2015中国移动开发者大会。蒸米发表了题为“XcodeGhost事件全程回顾”的主题演讲,欢迎下载!
Hello XcodeGhost说明本代码只做漏洞学习交流之用,切勿用作非法用途,如利用此代码违反我国法律法规,产生的一切后果自行负责。##解决方案升级iOS系统到9.0+下载App特征云检测工具 比如:盘古 ()更新检测出的有漏洞的...
该软件是PowerShell [1]脚本,用于解码XCodeGhost恶意软件[2]尝试发送到其命令和控制服务器的加密消息。 用法 将二进制形式的信标有效载荷数据导出到文件中。 这可以使用Wireshark或其他网络分析工具来完成。 将...
以为这就是全部了?我们来告诉你完整的XCodeGhost事件 数据安全 自动化 应用安全 渗透测试 安全
利用苹果私有接口检测iPhone手机里面已经被感染XcodeGhost App的demo
XcodeGhost"XcodeGhost" Source关于所谓”XcodeGhost”的澄清首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:所谓的XcodeGhost实际是苦逼iOS开发者...
一向以封闭安全著称的苹果iOS系统,这次终于因为XcodeGhost事件在中国栽了一个大跟头。要知道在这之前,苹果的AppStore中只发现过5款恶意应用,但这次的规模显然比以往发现的加起来还 一向以封闭安全著称的苹果iOS...
XcodeGhost_server XcodeGhost_server是XcodeGhost的服务器程序。 您可以使用它来接收加密信息,并向易受攻击的iPhone发送一些命令。依靠web.py sudo pip install web.py pyDes sudo pip install pyDes用法启动...
摘要Xcode 是由苹果公司发布的运行在操作系统 Mac OS X 上的集成开发工具(IDE),是开发 OS X 和 iOS应用程序的最主流工具。2015 年
案例:XCodeGhost背后链条的发现 大数据应用于威胁感知 1.真正拥有数据 怎么拥有自己的数据? 什么是安全数据? 2.学会处理数据 避免数据处理的一些误区 3.懂得挖掘数据 例:采用大数据针对DDoS攻击监测与溯源 例:采用...
现在官网下载JDK需要登录,而且下载速度也特别慢,但通过其它渠道下载特别大的风险(XcodeGhost 事件),于是在此提供 JDK11.0.6 的文件校验值。 SHA1: 62 d0 23 0f f2 b0 7b 63 9a 77 02 4e 06 90 69 3f 28 25 f9...
什么是威胁情报 一个切身体会——安全事件爆发过程 论威胁情报对企业信息安全的重要性 论威胁情报对安全产品的重要性 实践:腾讯的安全大数据...应用实例:XCodeGhost事件 应用实例:IP信誉库的应用 未来 多学习,多摸索