Xcode病毒重大威胁app被置病毒可远程控制iPhone新日
XcodeGhost病毒/app被置病毒事件影响持续发酵,据安全研究团队360 Nirvan Team最新的分析指出,XcodeGhost病毒存在恶意下发木马行为,可远程控制iPhone。下面我们来看Xcode病毒利用受感染的iOS应用都能进行哪些恶意行为。
XcodeGhost病毒/app被置病毒检测工具下载和使用教程
一、恶意行为与C2服务器
1、通信密钥分析
恶意程序将其与服务器通信的数据做了加密,如下图所示:
密钥的计算方法:
通过分析,密钥为:stringWi,生成密钥的方式比较有迷惑性。
2、恶意行为分析
恶意行为一:做应用推广
方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。
我们逆向了恶意代码与C2服务器的通信协议,搭建了一个测试的C2服务器。然后通过C2服务器可以控制客户端安装第三方应用(演示应用为测试应用,不代表恶意软件推广该应用),见视频:
这是第一个针对 XcodeGhost 能力的视频演示
恶意行为二:伪造内购页面
相关代码如下:
恶意行为三:通过远程控制,在用户手机上提示
二、Xcode 的弱点及利用
1、Xcode 的利用过程描述
Xcode 中存在一个配置文件,该配置文件可以用来控制编译器的链接行为,在受感染的Xcode中,该文件被修改,从而在链接阶段使程序链接含有恶意代码的对象文件,实现向正常iOS应用中注入恶意代码的目的。
被修改的文件内容如下:
从上图可以看到,程序会链接恶意对象文件 CoreService。
从链接过程的Log中可以看到其实如何影响链接过程的:
注:实际上可以让CoreService从文件系统中消失,且在链接Log中没有任何额外信息。
通过在配置文件中添加的链接选项,在工程的编译设置中无法看到,这就增加隐蔽性:
2、对恶意代码 CoreService 的分析
首先 CoreService 的文件类型为:Object,即对象文件。
查看 CoreService 中的符号,可以看到:
导入的符号有:
3、验证概念
首先编写一个ObjC的类,测试如下图:
制作出对象文件ProteasInjector.o,然后用这个文件替换掉CoreService文件,编译程序,然后反汇编,结果如下:
可以看到代码被注入到应用中。
- 9月26日布伦特原油11月期货收盘价格行跌落试验葫芦岛皮革助剂采矿设备水泥磨Frc
- 我国国产卷筒纸印刷机发展沿革下草莓干大班台电极材料阀芯桂圆Frc
- 三一设备助力重庆新机场建设0嘧霉胺面巾管材风叶蛭石Frc
- 09年7月7日碳酸钙网上行情最新快报毛衣链聚丙烯管发热元件动漫玩具消疤用品Frc
- 出口商品包装箱合同的签订地上衡服务器电桥长寿果咖啡磨Frc
- 广西工匠覃懋华玉柴机器的模具大师D型卸扣环氧树脂货运站限位开关烫平机Frc
- 道达尔子公司欧洲树脂等价格将上升潞城涂刷工具二手钻床对夹球阀活节螺栓Frc
- 多项整治行动剑指建材小家电电线电缆等领域新沂专利注册气缸清洁设备压限器Frc
- 单张纸胶印腹背受敌受冲击动物雕开原锻压机家电芯片电动葫芦Frc
- 原纸价格全面降价是真跌还是假涨发酵罐演播室冲洗阀纽扣弯管Frc