[原创]XCodeGhost详细技术分析[XCodeGhost内幕暴料]
发布者:gjden
发布于:2015-09-20 20:15
XCodeGhost详细分析报告
病毒名称:XCodeGhost
文件: CoreServices
分析师:gjden
大小: 268020 字节
MD5: 4FA1B08FD7331CD36A8FC3302E85E2BC
SHA1: F2961EDA0A224C955FE8040340AD76BA55909AD5
C&C: init.icloud-analysis.com
昨天对XCodeGhost做的分析,看雪老大让我爆料,其实网上也有不少了
,我就纯技术上做了代码分析。因为太忙没能好好整理一下,今天花了一些时间整理了一下,写报告也是件辛苦的事儿。现在把整理好的报告发上来,贴了开头部分,具体详看附件PDF。源码已经公开了,但是那时已经分析得差不多了,不过还是不大习惯OC的语法,觉得IDA F5来得更加方便,因此报告中基本上都是IDA的截图分析,懒得再再来排版了直接上PDF,分析不到位的,请见谅。
一、XCodeGhost简述
由于大量公司的开发人员从第三方网站下载了IOS应用的编译工具XCode来进行APP的开发工作,导致大量APP在苹果官方AppStroe上发布的APP感染了后门XCodeGhost。这是苹果IOS系统一次史无前例的大面积用户感染恶性事件。搜索引擎、各大云盘、下载工具、共享社区等等均成为此后门的推广和下载助推剂,甚至连腾讯微信都不能幸免,其感染的APP囊括了金融如同花顺、中信银行、中信银行动卡空间、南京银行等,游戏如愤怒的小鸟2,航空如南方航空应用,社交如天涯社区,教育如网易公开课,播放器如万能影音播放器等等数百款用户日常使用APP均感染了此后门。
二、XCodeGhost到底有何危害?
通过对XCodeGhost代码的深入分析,我们已经发现此恶意代码除了具备感染APP信息收集的功能,其还具备一个可以远程弹出定制系统对话框,远程执行第三方APP,远程打开任意url,远程控制下载任何APP等等功能,通过样本收集的信息结合功能强大的(openURL)可以实现对用户系统完全控制。
XCodeGhost刚发现时,大部分厂商均只对XCodeGhost进行粗略的分析,网上流转和刷屏的报告和新闻几乎都认为这个插入到XCode中的幽灵只是收集一些无关紧要的信息,包含作者利用社工库账号出来致歉所指出的只是获取一些app的基本信息,虽然看起来似乎没什么重要的信息,但是实际上已经有收集信息的嫌疑了。然而更具有危害潜力的实际是作者所谓的私心留了一个APP推广下载的后门。这个推广后门完全能利用openURL以及根据收集的信息通过伪装的系统对话框来实现一个非常隐秘的欺骗和强大的远程控制。
核心功能:
1)在APP各种运行状态下,收集感染APP运行时状态、应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型上传并且返回控制命令,控制端后台完全可以根据这些信息来自动发送相应控制参数。
2)检测调试和模拟器,防止在调试器状态时收集信息。
3)根据远程控制设置弹出任何系统服务对话框,对话框标题,内容,按钮均可远程设置,并且可以根据URL设置(利用强大openURL)实现打开第三方APP和系统自带的一些功能,如自动发短信,打电话,启动浏览器,邮箱等等。
4)实现了可以不跳转到APPStore来下载安装指定APP
5)所有的弹出对话框均可以远程设置延迟时间来进行定时弹出。
具体看附件吧,另外修改后分析文章发到ADlab的微信公众号上了
病毒名称:XCodeGhost
文件: CoreServices
分析师:gjden
大小: 268020 字节
MD5: 4FA1B08FD7331CD36A8FC3302E85E2BC
SHA1: F2961EDA0A224C955FE8040340AD76BA55909AD5
C&C: init.icloud-analysis.com
昨天对XCodeGhost做的分析,看雪老大让我爆料,其实网上也有不少了
,我就纯技术上做了代码分析。因为太忙没能好好整理一下,今天花了一些时间整理了一下,写报告也是件辛苦的事儿。现在把整理好的报告发上来,贴了开头部分,具体详看附件PDF。源码已经公开了,但是那时已经分析得差不多了,不过还是不大习惯OC的语法,觉得IDA F5来得更加方便,因此报告中基本上都是IDA的截图分析,懒得再再来排版了直接上PDF,分析不到位的,请见谅。一、XCodeGhost简述
由于大量公司的开发人员从第三方网站下载了IOS应用的编译工具XCode来进行APP的开发工作,导致大量APP在苹果官方AppStroe上发布的APP感染了后门XCodeGhost。这是苹果IOS系统一次史无前例的大面积用户感染恶性事件。搜索引擎、各大云盘、下载工具、共享社区等等均成为此后门的推广和下载助推剂,甚至连腾讯微信都不能幸免,其感染的APP囊括了金融如同花顺、中信银行、中信银行动卡空间、南京银行等,游戏如愤怒的小鸟2,航空如南方航空应用,社交如天涯社区,教育如网易公开课,播放器如万能影音播放器等等数百款用户日常使用APP均感染了此后门。
二、XCodeGhost到底有何危害?
通过对XCodeGhost代码的深入分析,我们已经发现此恶意代码除了具备感染APP信息收集的功能,其还具备一个可以远程弹出定制系统对话框,远程执行第三方APP,远程打开任意url,远程控制下载任何APP等等功能,通过样本收集的信息结合功能强大的(openURL)可以实现对用户系统完全控制。
XCodeGhost刚发现时,大部分厂商均只对XCodeGhost进行粗略的分析,网上流转和刷屏的报告和新闻几乎都认为这个插入到XCode中的幽灵只是收集一些无关紧要的信息,包含作者利用社工库账号出来致歉所指出的只是获取一些app的基本信息,虽然看起来似乎没什么重要的信息,但是实际上已经有收集信息的嫌疑了。然而更具有危害潜力的实际是作者所谓的私心留了一个APP推广下载的后门。这个推广后门完全能利用openURL以及根据收集的信息通过伪装的系统对话框来实现一个非常隐秘的欺骗和强大的远程控制。
核心功能:
1)在APP各种运行状态下,收集感染APP运行时状态、应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型上传并且返回控制命令,控制端后台完全可以根据这些信息来自动发送相应控制参数。
2)检测调试和模拟器,防止在调试器状态时收集信息。
3)根据远程控制设置弹出任何系统服务对话框,对话框标题,内容,按钮均可远程设置,并且可以根据URL设置(利用强大openURL)实现打开第三方APP和系统自带的一些功能,如自动发短信,打电话,启动浏览器,邮箱等等。
4)实现了可以不跳转到APPStore来下载安装指定APP
5)所有的弹出对话框均可以远程设置延迟时间来进行定时弹出。
具体看附件吧,另外修改后分析文章发到ADlab的微信公众号上了
声明:该文观点仅代表作者本人,转载请注明来自看雪