记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

国产苹果恶意软件XcodeGhost阴魂不散,新变种感染大量欧美企业

自由邦是苹果App Store中发现的第一例被XcodeGhost变种感染的应用 安全公司FireEye近日的调查显示,一个月前震惊中外,危及全球iPhone用户隐私和数据安全的苹果恶意开发软件XcodeGhost并未偃旗息鼓,相反出现了更加高级和隐蔽的新变种。FireEye的最新调查主要有三点发现:1.XcodeGhost已经感染了大量美国用户(企业)2.XcodeGhost的命令控制服务器依然有漏洞可被利用,僵尸网络也处于活跃状态3.出现了新变种XcodeGhost S,可适应iOS9,并可躲避静态安全检查工具在最XcodeGhost持续追踪监测四周后,FireEye的安全研究人员观察到210家企业的内部网络中有人员运行被XcodeGhost感染的应用,并向XcodeGhost命令控制服务器发起超
发布时间:2015-11-05 18:10 | 阅读:74234 | 评论:0 | 标签:动态 安全警报 XcodeGhost XcodeGhost S 移动安全

恶意软件XcodeGhost已更新支持iOS 9:瞄准美国多家机构

通过重新打包Xcode并引诱开发者下载的方式,XcodeGhost恶意软件已经感染了无数iOS应用。然而在近期的一次升级之后,它已经将目标瞄向了iOS 9和更多美机构用户。这项发现由FireEye研究人员所披露,其将新版恶意如今称作XcodeGhost S,因为它已经可以感染最新的iPhone 6s系列机型。 FireEye指出,新版XcodeGhost已明确升级,以支持iOS 9中新增的特性。与此同时,它还增加了新的机制,已避免自己被检测到。 特别的,XcodeGhost S已被修改规避HTTPS通讯的限制。作为iOS 9上的强制性要求,它原本可以阻绝XcodeGhost与命令控制服务器(C&C Server)之间的传输。 此外,为了避免被基于静态检测的安全工具所发现,XcodeGhost现已通过一种
发布时间:2015-11-05 00:30 | 阅读:64099 | 评论:0 | 标签:安全 XcodeGhost iOS

你以为这就是全部了?让我们来告诉你完整的XCodeGhost事件

【前言】 前些天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。 由于行文仓促,难免有诸多错漏之处,还望同行批评指正。 【事件溯源】 不久前,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。 随后,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即上报了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都
发布时间:2015-11-05 00:00 | 阅读:76861 | 评论:0 | 标签:代码审计 黑客 XCodeGhost

书安SecBook 第二期《信息安全攻防赛》

期盼已久的《书安》第二期准时又和大家见面了,本次的主题主要围绕《信息安全攻防赛》为主,本期内容包括CTF节选5篇、XcodeGhost小结2篇、Wireshark系列文章6篇,具体内容可以查阅以下书录: 第一章  CTF节选 NSCTF Write up Web 篇 NSCTF Write up Reverse 篇 XDCTF Write up Web 篇 XDCTF Write up Reverse 篇 XDCTF Write up PWN 篇 第二章 XcodeGhost 小结 Xcode 编译器里有鬼 – XcodeGhost 样本分枂 XcodeGhost 截胡攻击和服务端的复现以及 UnityGhost 预警 第三章 WireShark 系列 WireShark 黑客发现之旅-开篇 WireShar
发布时间:2015-10-15 19:10 | 阅读:109914 | 评论:0 | 标签:技术 读点 SECBOOK XcodeGhost 书安 书安第二期

利用威胁情报精准锁定XcodeGhost失陷手机

9月14日,国家互联网应急中心CNCERT发布预警通告,目前最流行的苹果应用程序编译器XCODE被植入了恶意代码(XcodeGhost)。开发者使用非苹果公司官方渠道的XCODE工具开发苹果APP时,就有可能向该APP中植入恶意代码。由于XCODE的广泛应用,预计将会有超过一亿部iOS移动终端受到影响。XcodeGhost是如何控制上亿部iOS设备的用户在iOS设备上安装了被感染的APP后,设备在接入互联网时APP会回连恶意URL地址init.icloud-analysis.com,并向该URL上传敏感信息(如设备型号、iOS 版本):回连的C&C服务器会根据获取到的设备信息下发控制指令,从而完全控制设备,可以在受控设备上执行打开网页、发送短信、拨打电话、打开设备上所安装的其他APP等操作。由于苹果应用
发布时间:2015-09-23 00:20 | 阅读:76493 | 评论:0 | 标签:牛工具 XcodeGhost 慧眼云 网康科技

你以为服务器关了这事就结束了? – XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警

0x00 序 截胡,麻将术语,指的是某一位玩家打出一张牌后,此时如果多人要胡这张牌,那么按照逆时针顺序只有最近的人算胡,其他的不能算胡。现也引申意为断别人财路,在别人快成功的时候抢走了别人的胜利果实。 虽然XcodeGhost作者的服务器关闭了,但是受感染的app的行为还在,这些app依然孜孜不倦的向服务器(比如init.icloud-analysis.com,init.icloud-diagnostics.com等)发送着请求。这时候黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是”init.icloud-analysis.com”,就可以成功的控制这些受感染的app。具体能干什么能,请看我们的详细分析。 另外,有证据表明unity 4.6.4 – unity 5.1.1的开发工具也受到了污染,并且行
发布时间:2015-09-22 21:50 | 阅读:104693 | 评论:0 | 标签:技术 unityGhost XcodeGhost

苹果遭病毒感染:iOS依然比Android安全

据中国之声《新闻晚高峰》报道,根据安全漏洞报告平台乌云报告显示,目前苹果应用商店中已有大量应用感染上了一种名叫XcodeGhost的病毒。这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取你的iCloud及iTunes密码。受影响应用数超过76款,涉及用户多达1个亿。 包括12306、滴滴出行、高德地图、同花顺等二十多款国内应用,都受到这种“窃取用户信息、窃取密码”的病毒影响。这些热门软件包含大量的个人信息,其中也不乏有银行、炒股等资产管理软件,事件曝光后,个人隐私是否泄漏成为不少用户最大担忧。 某安全实验室负责人高雪峰:我们昨天晚上跑了大约15万样本,发现此大概有144个应用程序被病毒感染。所以我们就建议比如你正常的情况下,如果说看到有影响的版本,可以去网上对一下,然后看自己iPhone
发布时间:2015-09-20 12:30 | 阅读:80071 | 评论:0 | 标签:信息安全 XcodeGhost 苹果 Android iOS

XcodeGhost国人作者致歉,中情局笑了

新浪微博 @XcodeGhost-Author 发了一份道歉信,宣称对XcodeGhost事件负责。美国中情局CIA笑了:Sorry,这技术我们在3年前就掌握了。然后哼了一曲:原来我一直都不孤单。 网络媒体The Intercept在2015年3月10日发表了文章“The CIA Campaign to Steal Apple’s Secrets”[2],按照该网站的惯例,是对斯诺登泄密文件的解读。报道中提到只允许美国人参加的一个年度闭门会议:TCB Jamboree,参加者来自CIA以及其合作伙伴,NSA也参加过,主要讨论TCB/TPM可信计算等漏洞研究和利用。第一届Jamboree在2006年举办,在苹果发布第一代iPhone的前一年。 2012年2月的Jamboree上,国防承包商Lockhe
发布时间:2015-09-20 10:50 | 阅读:75206 | 评论:0 | 标签:业界 XcodeGhost

涅槃团队:Xcode幽灵病毒存在恶意下发木马行为

本文是 360 Nirvan Team 团队针对 XcodeGhost 的第二篇分析文章。我们还原了恶意iOS应用与C2服务器的通信协议,从而可以实际测试受感染的iOS应用有哪些恶意行为。最后,我们分析了攻击的发起点:Xcode,分析了其存在的弱点,以及利用过程,并验证了该攻击方法。一、恶意行为与C2服务器1、通信密钥分析恶意程序将其与服务器通信的数据做了加密,如下图所示:密钥的计算方法:通过分析,密钥为:stringWi,生成密钥的方式比较有迷惑性。2、恶意行为分析恶意行为一:做应用推广‍方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。我们逆向了恶意代码与C2服务器的通信协议,搭建了一个测试的C2服务器。然后通过C2服务器
发布时间:2015-09-20 07:00 | 阅读:79147 | 评论:0 | 标签:漏洞 Xcode XcodeGhost

XcodeGhost作者凌晨现身微博并公开源码

XcodeGhost事件的爆出着实让全国的iOS应用开发者和用户吓出一身冷汗,今天凌晨4:40分,该事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码,从源码看可信度较高。微博全文如下: 微博原文访问入口: http://weibo.com/u/5704632164 “XcodeGhost” Source 关于所谓”XcodeGhost”的澄清 首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost 所谓的XcodeGhost实际
发布时间:2015-09-19 20:05 | 阅读:249257 | 评论:0 | 标签:业界 热点 XcodeGhost

XcodeGhost感染不威胁用户信息安全

网易科技讯 9月18日消息,关于XcodeGhost工具感染事件,目前可以确定的几件事是,首先是由非官方渠道开发工具引起的,涉及的产品也很广泛,包含但不限于滴滴出行,12306,联通营业厅,网易云音乐,高德地图,简书,豌豆荚开眼,网易公开课,下厨房,51卡保险箱,同花顺,中信银行动卡等产品。 “感染源”会上传应用会上传产品自身的部分基本信息(安装时间,应用id,应用名称,系统版本,语言,国家)。并不会对用户的个人信息产生什么威胁,而且用于收集信息的网站init.icloud-analysis.com(该域名为病毒作者申请)也已经关闭。 目前只有网易云音乐和网易公开课通过官方微博发布公告,声明不存在威胁用户个人信息安全,并且也将尽快上线新版本,以此彻底清除XcodeGhost工具所带来的感染问题。
发布时间:2015-09-19 20:05 | 阅读:75030 | 评论:0 | 标签:业界 热点 xcode XcodeGhost

Xcode遭XcodeGhost恶意代码,数十个知名APP中招

据Twitter网友爆料,使用Charles软件分析发现至少网易云音乐、中信银行动卡空间、12306、高德地图、中国联通手机营业厅、简书、开眼、网易公开课、下厨房、51 卡保险箱、同花顺和滴滴打车等应用被注入 XcodeGhost 代码。根据乌云漏洞平台的分析,感染该病毒的应用可能会弹出虚假弹窗套取用户 iCloud 账户及密码。 国内多个厂商的App使用了第三方途径下载的Xcode开发环境(非Apple正规途径),其编译后应用会自动发送信息至 init.icloud-analysis.com远端服务器,该病毒命名为XcodeGhost。 据悉,通过在非官方渠道下载的Xcode编译出来的App被注入了第三方的代码,会向一个网站上传用户数据,数据包括一些iPhone和App的基本信息,例如时间,bundle id
发布时间:2015-09-19 05:20 | 阅读:69351 | 评论:0 | 标签:业界 XcodeGhost

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云