網(wǎng)康慧眼云發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的XcodeGhost失陷手機(jī)
責(zé)編:mhshi |2015-09-21 16:12:339月14日,國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布預(yù)警通告,目前最流行的蘋果應(yīng)用程序編譯器XCODE被植入了惡意代碼(XcodeGhost)。開發(fā)者使用非蘋果公司官方渠道的XCODE工具開發(fā)蘋果APP時,就有可能向該APP中植入惡意代碼。由于XCODE的廣泛應(yīng)用,預(yù)計將會有超過一億部iOS移動終端受到影響。
XcodeGhost是如何控制上億部iOS設(shè)備的
用戶在iOS設(shè)備上安裝了被感染的APP后,設(shè)備在接入互聯(lián)網(wǎng)時APP會回連惡意URL地址init.icloud-analysis.com,并向該URL上傳敏感信息(如設(shè)備型號、iOS?版本):
回連的C&C服務(wù)器會根據(jù)獲取到的設(shè)備信息下發(fā)控制指令,從而完全控制設(shè)備,可以在受控設(shè)備上執(zhí)行打開網(wǎng)頁、發(fā)送短信、撥打電話、打開設(shè)備上所安裝的其他APP等操作。由于蘋果應(yīng)用商店是個相對封閉的生態(tài)系統(tǒng),用戶一般都會充分信任從應(yīng)用商店下載的APP,因此此次事件的影響面和危害程度前所未有,有可能是蘋果有史以來所面臨的最嚴(yán)重的安全危機(jī)。
XcodeGhost失陷手機(jī)檢測過程回放
慧眼云可以識別企業(yè)WiFi網(wǎng)絡(luò)中所有接入的移動終端設(shè)備并記錄其網(wǎng)絡(luò)連接行為。通過與該惡意URL相關(guān)的威脅情報,就可以檢測出已經(jīng)被感染的移動終端設(shè)備,并基于網(wǎng)康的用戶和應(yīng)用識別能力,進(jìn)一步確定被感染用戶及其所使用的APP。
Step?1?通過威脅情報和異常行為分析,發(fā)現(xiàn)失陷的手機(jī)
Step?2?檢測該手機(jī)的威脅活動
Step?3?威脅活動詳情,可以看到大量到init.icloud-analysis.com的連接
Step?4?確定失陷終端后,基于用戶和應(yīng)用識別,準(zhǔn)確鎖定用戶和被感染的APP
小結(jié):與大多數(shù)安全廠商從分析被感染的APP入手不同,網(wǎng)康獨(dú)辟蹊徑,利用慧眼云的威脅情報生成能力,以被感染APP所產(chǎn)生的惡意流量為線索檢測失陷手機(jī),并借助網(wǎng)康在應(yīng)用識別(尤其是移動應(yīng)用識別)方面的技術(shù)優(yōu)勢精準(zhǔn)鎖定失陷手機(jī)中產(chǎn)生惡意流量的APP。事實(shí)再次證明,無論惡意行為如何隱藏,終究會留下蛛絲馬跡。也許終端無法檢測,但通過云和大數(shù)據(jù)技術(shù)對異常行為做深度關(guān)聯(lián)分析,隱秘的地下行為終究無可遁形。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧