Palo Alto NPagesetworks最新披露:惡意軟件XcodeGhost

更多細節


作者: Palo Alto Networks Unit 42威脅研究分析員Claud Xiao



數天前,我們深入調查了一種名為XcodeGhost的新型惡意軟件,它存儲於App Store,可修改Xcode並感染iOS應用。研究還發現,超過39款iOS應用程式已被感染,其中包括像最新版本的微信或滴滴打車這些非常流行的 應用程式,預計數億iOS用戶可能已受到影響。

此外,我們還分析了XcodeGhost的遠端控制功能,攻擊者可以借此功能實施釣魚或進一步的攻擊。更多關於XcodeGhost及其行為的細節將在下文中進行披露。

以下為網誌節錄內容:


  • 應對措施

自9月18日公佈該資訊以後,Palo Alto Networks公司已與蘋果、亞馬遜和百度達成合作,以共用樣本、威脅情報和研究資源。上述所有公司都已經採取措施,以阻止攻擊,緩解安全威脅。

自9月18日開始,蘋果公司已經開始刪除其應用程式商店中被XcodeGhost感染的某些iOS應用。蘋果公司還給受影響的開發商發送了一封郵件,通過官方的Xcode引導他們重新編譯他們的產品,並再次重新提交。此外,蘋果公司已經承認XcodeGhost為惡意軟件,並已經影響到了App Store。

圖1 「鐵路12306」應用程式已暫時從App Store中被刪除

亞馬遜也已經採取行動,由於XcodeGhost能夠通過亞馬遜網絡服務中的C2伺服器上傳私隱資訊,並發送控制命令,所以,亞馬遜也關閉網絡服務中的所有C2伺服器。


百度已經刪除了其雲檔共用服務中所有的惡意Xcode安裝檔,使程式開發人員無意間下載被感染Xcode的機率大為降低。

截至9月21日,我們發現應用程式商店中仍然存在一些已被感染的iOS應用,其中也包括中國聯通移動辦公3.2版本。(圖2)

圖2  週一上午一個已受感染的應用程式在App Store中仍然可用

  • 更多受感染的應用程式已被披露

過去數天,其他安全公司也聲稱,更多的iOS應用程式已感染XcodeGhost。例如,奇虎360在其博客中列出了344款被感染的應用程式。盤古團隊也聲稱,已經檢測到3418款被感染的不同的iOS應用程式。盤古團隊還發佈了一款iOS應用程式,可以用於檢測他們發現的木馬iOS應用。

目前我們還沒有證實他們的調查結果。但是,考慮到自2015年3月份以來惡意軟件Xcode安裝檔傳播的情況,3月份己開始運作的C2伺服器,與此同時,搗亂搜尋引擎的回覆,因此,如果iOS應用程式受影響的人數遠遠大於我們的想像,倒也不足為奇。


  • iOS用戶的安全建議

iOS使用者可以安裝盤古團隊的應用程式(在iPhone或iPad中直接訪問x.pangu.io),以檢測其安裝的應用程式是否受到感染。如果檢測到被感染的應用程式,我們建議使用者可以暫時把此程式刪除,等待更新的可用版本,再下載使用。

另外,有兩種方法也有助於減輕惡意軟件的潛在攻擊。一是,為您的Apple ID設定雙重驗證,二是,避免使用不信任的WiFi網絡。

即使完全遵守上述所有的步驟,對於iOS使用者來說保護自己免受此類惡意軟件的攻擊仍是一種挑戰。此次XcodeGhost事件備受關注,也促使了蘋果和開發者更關注程式安全以在未來防止類似的攻擊。

如欲閱讀全文,請瀏覽: Palo Alto Networks網誌


關於Palo Alto Networks

Palo Alto Networks 為引領網路安全新時代的新一代安全企業,可為全球數以萬計的企業保護應用,免受網路威脅。Palo Alto Networks極具顛覆性的安全平臺所提供的安全性遠高於傳統或單點產品,採用創新方法及高度差異化的網路威脅防禦功能,確保企業運營安全,並保護企業最重要的資產。更多內容請流覽 www.paloaltonetworks.com












Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:Palo Alto Networks最新披露:惡意軟件XcodeGhost更多細節;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋