XcodeGhost 情报汇总整理

事件起因与简述

工程师从恶意源下载了Xcode.app。被修改的Xcode.app包含一个object文件CoreServices,实现了UI类的某接口,并在UI触发时执行恶意行为;以及被修改的项目默认配置文件,以在编译时默认搜索CoreServices所在位置,并将其静态链接进入可执行文件。简言之,将带有恶意代码的普通代码对象文件,通过正常的构建机制,链接进入可执行文件。

已知的恶意代码行为

受影响的Xcode版本 Xcode v6.1 ~ v6.4

被植入恶意代码的 iOS 应用会向C&C 服务器(init.icloud-analysis.com)上传信息,

具体信息包括:时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备唯一标识UUID、网络类型。

攻击者会利用服务器返回,来创建模拟弹窗。

可能的进一步攻击逻辑 -XcodeGhost 实际用途猜测分析(Saic)

1
2
3
4
5
6
7
8
9
在用户安装了目标应用后,木马会向服务器发送用户数据。
服务器根据需要返回模拟弹窗。
弹窗可以是提示支付失败,请到目标地址付款,也可以是某个软件的企业安装包。
用户被诱导安装未经审核的安装包后,程序可以调用系统的私有 API,实现进一步的攻击目的。
木马中还有一些调用应用内购的攻击逻辑,就不展开说明了。

值得关注的点

除了攻击思路比较独特以外,作者对投毒的Xcode的推广过程也是值得挖掘的。利用大量已被社工的帐号发帖进行推广,当然,我也很好奇360攻防实验室是根据哪些线索最终定位到作者的。

控制服务器应该在 Amazon EC

CCTV 林伟
数十个不同的帖子,不同的ID,长期不活跃,突然发了Xcode的下载连接,之后并无其他活动行为,持续了至少半年以上。

引用知乎某回答

不过我也并不是赞同全部观点
值得赞赏的是我们应该去探寻更详细的”投毒”机制
利用正常的构建机制静态链接了obj文件
不赞同的是对威胁程度的看法
有分析表明,该恶意代码能模拟弹窗钓鱼
应该能获取到很多敏感信息,我觉得这种威胁是应该值得警惕的
而且这次恶意软件的影响范围也非常大

关于迅雷的安全性,不讨论

各企业的开发流程还需规范,开发人员的安全意识仍需提高

http://www.zhihu.com/question/35721299
成曦
吴大壮、gary、小黑 等人赞同
今天看到铺天盖地的微博消息和媒体覆盖,不经觉得这个问题的严重性被过分放大。当然,媒体人因为缺乏专业知识仍情有可原,但工程师们不应该犯迷糊。

首先理清本次事件产生的原因,工程师从恶意源下载了Xcode.app。被修改的Xcode.app包含一个object文件CoreServices,实现了UI类的某接口,并在UI触发时执行恶意行为;以及被修改的项目默认配置文件,以在编译时默认搜索CoreServices所在位置,并将其静态链接进入可执行文件。简言之,将带有恶意代码的普通代码对象文件,通过正常的构建机制,链接进入可执行文件。

几点思考:

  1. 乌云上的公告-> XCode编译器里有鬼 是有问题的。
    首先,其标题“编译器有鬼”存在误导性,Xcode.app并非更改了下层的LLVM编译器,更改编译器来使二进制文件实现有意义的恶意行为是可能性基本为零的事,详见以下讨论:linux - Is Ken Thompson’s compiler hack still a threat?。

其次,称之为“病毒”不准确,根据分析报告:Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store,该CoreServices文件仅仅是代码编译后的object文件,而恶意代码是对UIWindows/UIDevice类的某接口进行了实现,以静态链接的方式进入可执行文件,在UI触发时运行恶意代码。

  1. 媒体宣传中对于本次事件影响的描述是夸大的。
    看到一些媒体宣传本次事件会导致用户隐私信息流出,密码曝光等,均为对本次事件的夸大表述。乌云的反向分析表明该恶意代码仅向远程发送应用名称、版本、语言等非敏感信息,且受到系统沙箱的限制,无法访问该应用之外的资源,或调用根权限的系统接口。[论不越狱的重要性。因此网易的公告实际上是中肯的。

  2. 迅雷下载存在重大安全隐患
    根据乌云的引述,将官方HTTP链接复制进迅雷下载却得到被修改后的Xcode。比该事件本身更有意思的是攻击者如何做到利用迅雷作为被修改Xcode的分发工具,可否被进一步利用来传播恶意程序?该问题如不解决势必造成更严重的安全问题。

  3. 企业计算环境管理与开发流程不规范
    该事件反映出企业对与开发流程管理的不规范。一个健康的开发环境应当是由企业集中进行管理的,而不应由开发者自行安装修改。开发者应该仅从本地提交代码本身,而最终的可执行程序应将代码库中的源码在受控的专用环境中使用可信的编译系统进行构建与发布。
    应对项目配置文件进行审计,切勿引用冗余的静态链接库或头文件路径。

最后对iOS安全的看法:切勿越狱、切勿越狱、切勿越狱[重要的事情说三遍。


更新1:为何这些App内嵌“木马”,却仍能上架官方App Store?
很多用户,包括这里有些答案都对这个问题产生疑问。首先需要明确,如开头阐述的,这并不是所谓的“病毒/木马”。因为静态链接进去的object文件仅仅调用合法的API,向远端发送非隐私敏感信息。其实从功能性上来说,这段“恶意代码”的逻辑与很多app用来统计安装量与设备型号的代码本质没有区别,因此称之为病毒木马是错误的。

其次,根据苹果发布的App Store审核细则:https://developer.apple.com/app-store/review/guidelinese,这些应用并没有调用非法API,如条目2.5,亦没有访问非法位置或隐私信息,如条目17。且从功能上看,这部分额外代码并不存在异常。因此App Store也没有理由不让这些应用通过审核。

当然,虽然本次事件中的额外代码并不会对用户造成实际损失,但其反映出来的一种新型攻击方式值得反思,即攻击者通过下载工具传播被修改的开发工具配置,被开发者下载使用后,在不知情的情况下在应用中嵌入额外代码并发布。因此唯有彻底封死传播途径,并施以更规范的开发与质量控制流程,才能杜绝此类攻击继续发生。

资料汇总

编译器后门与防御 -Solidot
http://www.solidot.org/story?sid=44519

Reflections on Trusting Trust -Ken Thompson
http://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html

Is Ken Thompson’s compiler hack still a threat?
http://programmers.stackexchange.com/questions/184874/is-ken-thompsons-compiler-hack-still-a-threat

涉及 http://init.icloud-analysis.com/ 的博文
http://blog.leanote.com/post/ykswang/%E7%94%A8pcap-parser%E5%8A%A0%E9%80%9F%E6%8A%93%E5%8C%85%E6%B5%8B%E8%AF%95

墙、感染、信任和欺骗
http://mp.weixin.qq.com/s?__biz=MjM5MTE4Nzk1NA==&mid=209128120&idx=1&sn=f735996fe4c92bb91a1cb4808a5a7722&scene=1&srcid=09211TSWIlmO6fNrsCFQImuf#rd

说说 XcodeGhost 这个事 -简悦云风
http://daily.zhihu.com/story/7119680

运维部门的反思
XCodeGhost随想 -ThoughtWorks
http://insights.thoughtworkers.org/xcodeghost/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

央视新闻报道
http://news.cntv.cn/2015/09/20/VIDE1442722138330797.shtml

XcodeGhost的无聊分析 -PINKA
http://pinka.cn/2015/09/xcodeghost%E7%9A%84%E6%97%A0%E8%81%8A%E5%88%86%E6%9E%90/

Xcode 苹果木马样本分析 -360NiranTeam(涅槃)
http://weibo.com/p/1001603888530987310032

Xcode木马详细分析 -360NiranTeam(涅槃)
http://weibo.com/p/1001603888538625114966

Xcode幽灵病毒存在恶意下发木马行为 -360NiranTeam(涅槃)
http://www.freebuf.com/vuls/78945.html

@tombkeeper
2015 年 3 月 10 日的这篇文章(网页链接)透露:美国圣地亚国家实验室在 2012 年 CIA 的秘密会议“Jamboree”上提出被称作“Strawhorse”的攻击方式:通过修改 Xcode 使开发商不知情地发布带有后门的 APP。“codefun” 开始散布修改后的 Xcode 是在 3 月中旬,不知道是不是受了这个启发。
https://www.eff.org/deeplinks/2015/03/guess-who-wasnt-invited-cias-hacker-jamboree

2015年3月根据斯诺登披露的文件表示 NSA曾经讨论过Xcode(4.1)SDK的控制思路:利用安插在该SDK中的后门程序,加载特定的动态库文件,修改IOS系统的安全策略,实现将IOS系统下的所有APP(应用程序)的数据将传送到指定的监听端口。

XcodeGhost源代码 https://github.com/XcodeGhostSource/XcodeGhost

XcodeGhost 的警示,为何要使用 App Sandboxing 和 Gatekeeper -Xhacker’s Base
http://blog.xhacker.im/2015/09/18/xcodeghost.html

矮穷龊-陆羽
相信很多人此时此刻都在追踪XCodeGhost的作者,我想说,作者很聪明,使用社工库找到了很多年前就已经注册的他人账号,发帖,居然还有一条记录是通过黑掉了论坛版主账号,修改了别人的帖子内容而来。@360网络攻防实验室

我们3点多发微博,4点都你的稿子就出来了,是因为身份暴漏了。所以发这个帖子么?姑且不说你是不是真的作者,如果真的是,你的解释是不同的,因为域名注册早在2015年2月25日,而CIA后门稿子在3月12日,大规模传播在3月13日,你是先知么?另外后长期续一系列的隐藏和变换身份的操作,就说明你是蓄意的!

多亏@360NirvanTeam 和 @MickeySec @我还是LN 以及n多360技术团队的共同努力[嘻嘻]#XcodeGhost# 作者是谁?:88年,某工大本科、保送研究生、前程似景、集合各种语言开发能力、会画图、爱好文学、好骑自行车旅行、了解机器学习。。各种高大上。接下来会怎样我不知道会发生什么了

XcodeGhost 实际用途猜测分析 -Saic
http://www.weibo.com/p/1001603888503866975286

XcodeGhost 事件会造成什么影响?-知乎
http://www.zhihu.com/question/35721299/answer/64245291

XCode编译器里有鬼 – XCodeGhost样本分析
http://drops.wooyun.org/news/8864

XcodeGhost事件全程回顾,阿里移动安全蒸米重磅分析
http://weibo.com/p/1001603888770540788221?from=page_100606_profile&wvr=6&mod=wenzhangmod

你以为这就是全部了?我们来告诉你完整的XCodeGhost事件 -腾讯安全应急响应中心
http://security.tencent.com/index.php/blog/msg/96

用家用路由器检查 iPhone 是否感染了 XcodeGhost -腾讯玄武实验室
http://weibo.com/p/1001603888801121448415

检测工具 盘古团队
http://x.pangu.io/

受影响app列表 -360
http://bobao.360.cn/news/detail/2088.html

平底锅员工ClaudXiao
XcodeGhost影响的版本不止6.4,还有6.1到6.3;服务器不止icloud-analysis还有另外两个;百度网盘只关掉了一个文件,其他的还在(已经通知百度)。将来的攻击方式不止重打包还可能出现直接修改已安装的Xcode。最后不得不说,这次的作者水平很高。

平底锅分析三则
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/
http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/
http://researchcenter.paloaltonetworks.com/2015/09/update-xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps/

黎明破晓后是电闪雷鸣-xcodeghost事件之谜
http://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=208927787&idx=1&sn=12d321cfb2ed4d07c88594bf66ac3e5d#rd

夜不能寐!众多知名苹果app感染病毒!
http://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=208924311&idx=1&sn=73b9ef1649a3e8c72c180adb3f6084f7#rd

爷爷奶奶都能看懂的 iOS 恶意代码事件科普
http://weibo.com/p/1001603888803550000430

【安天】Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述
http://drops.wooyun.org/papers/9178

相关事件

NSA 给 各大IT供应商固件植入后门,这些厂商包括思科、Juniper网络公司、戴尔、希捷、西部数据、迈拓、三星和华为。
该行动代号为 COTTONMOUTH。

COTTONMOUTH-III: NSA Exploit of the Day

UnityGhost

Putty 中文版后门

Delphi 7 后门

CVE-2015-8370-Grub2-authentication-bypass 28个退格键 back to 28

Daniel J. Bernstein “Some thoughts on security after ten years of qmail 1.0”

Ken Thompson “Reflections on Trusting Trust”

“The moral is obvious. You can’t trust code that you did not totally create yourself. “ - Ken Thompson

Xcode原型

其实早在今年三月,外媒披露的报道中已经提及Xcode后门:

根据斯诺登近期爆料的文件显示,CIA在美国桑迪亚(Sandia)国家实验室开发了一款流氓版Xcode。这个版本的Xcode会在苹果开发者的电脑中植入后门,窃取他们的个人开发密钥。

关于作者

关键词: xcodeghost 山东科技

但ThreatBook安全团队反向追溯了此病毒的传播路径及作者。

ThreatBook发现了XcodeGhost病毒多个相关域名注册时所使用的身份为:

姓名:Wang *
邮箱:778
@qq.com,473@qq.com
手机:132*
520
座机:0532-6657*
网络支付帐号:473
@qq.com
常用网络身份:Zhou ,Wang* Wang;
其中,778
@qq.com帐号曾被山东某高校学生使用。

涅盘安全团队内部透露病毒作者之一可能为,“88年,某工大本科、保送研究生、前程似景、集合各种语言开发能力、会画图、爱好文学、好骑自行车旅行、了解机器学习。。各种高大上。”

據了解,病毒製造者並非一個人,其中一名主要成員曾是內地某名校的保送研究生,但已退學。另一名疑犯曾就讀位於青島的山東科技大學,目前已經畢業,並在青島創辦一家科技公司,現時正被青島網警扣查,案件在調查當中。
此人已被青岛网警控制,具体案情正在调查中。但不清楚控制是什么意思,是限制出行还是遭到拘捕?更新27/9:该新闻已被删除。

主要负责人
某工大(哈工大/西工大?)的本科、保送研究生,但已退学。
88年,某工大本科、保送研究生、前程似景、集合各种语言开发能力、会画图、爱好文学、好骑自行车旅行、了解机器学习。

其他负责人
余姓嫌疑人,曾就读位于青岛的山东科技大学,目前已经毕业,并在青岛创办一家科技公司。

“XcodeGhost事件”嫌疑人已被控制
http://sd.wenweipo.com/?action-viewnews-itemid-676

听说 xcodeghost 作者被肉出来了
https://www.v2ex.com/t/221919

宇宙机们怎么看!! XcodeGhost
http://tieba.baidu.com/p/4059425387
http://chuansong.me/n/1778550

总而言之,林伟(陆羽)是知道内情的。

  1. 360网络攻防实验室
  2. t00ls.net
  3. 360涅磐团队

其他

Android 5.0 绕过锁屏密码
John Gordon