“破界”(WIRELURKER)綜合分析報告
責編:admin |2014-11-10 15:53:531 小序
如果“網絡威脅”是一個幽靈的話,那么2014年,這個幽靈就一直在流竄。當“心臟出血(Heartbleed)”和“破殼(Shellshock)”把我們的目光剛剛鎖定在類UNIX系統和開源領域時,沙蟲(SandWorm)漏洞又讓我們重回Windows戰場。而北京時間11月6日起,引發業內關注的一個被稱為“WireLurker”新樣本通過Windows和Mac OS X系統實現對iOS系統的侵害。這個樣本的形態和特點,無疑值得關注和深入分析,鑒于此樣本影響的平臺非常廣泛,安天組成了由安天CERT(安天安全研究與應急處理中心)和AVL TEAM(安天旗下獨立移動安全研究團隊)的聯合分析小組,但在我們同時研究了此次威脅的先發廠商Palo Alto Networks的大報告后,我們發現其已經非常詳盡完備。在當年Stuxnet、Flame的分析中,我們意識到與兄弟廠商之間進行馬拉松式的分析競賽,一方面會能提升分析深度和粒度,但同時也會造成業內資源的冗余消耗,是一柄雙刃劍。因此我們決定減少此次分析兵力投入。以安天CERT和AVL Team的新分析員為主完成此次分析。雛鷹初飛,如有不足之處, 希望得到批評指正。也希望大家通讀Palo Alto Networks的報告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。獲得更系統全面的信息。
同時令我們非常開心的是,Palo Alto Networks相關報告的主筆亦曾是安天CERT曾經的小伙伴Claud Xiao。盡管遠隔重洋,但我們依然面對同樣的安全威脅而戰斗。
海上出明月,應急響應時。伙伴隔海望,不覺起相思。
2 中文命名與概述
該惡意代碼被其發現者Palo Alto Networks命名為“WireLurker”,直譯其名為“連線潛伏者”。在我們討論中文命名時,考慮到WireLurker主要擁有如下傳播特點:通過第三方APP市場“麥芽地”(亦發現百度網盤的分享)進行下載傳播到iOS系統;亦具有如下功能特點:在Windows平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統、在Mac OS X平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統;最終對iOS系統相關文件進行竊取回傳。從相關WireLurker樣本所傳播的環境涉及到Windows、Mac OSX兩個桌面系統,涉及到一家第三方APP市場,并最終危害智能終端操作系統iOS的特點來看,跨越了多個系統平臺,利用相關同步接口,突破了各平臺間的邊界,所以安天經過討論最終將WireLurker的中文命名定為“破界”。下圖是此惡意代碼的整體傳播與執行的示意圖,或許能解釋我們將其中文名命名為“破界”的初衷。
“破界”惡意代碼在用戶iOS系統中主要惡意行為:獲取電話、短信、瀏覽器、移動儲存掛載、搜索、系統偏好等信息并通過POST上傳到服務器,其中通信錄和短信通過sqlite數據庫獲取,還會檢測更新樣惡意代碼版本。
因在安天進行分析時,Palo Alto Networks在其美國公司所在地時間11月5日發布針對蘋果OS X及iOS系統的惡意代碼新家族的分析大報告,并將其命名為“WireLurker”。按惡意代碼家族命名中的規律,以早發現反病毒廠商命名為準,所以安天英文命名為:Trojan/iOS.WireLurker。
為了使“破界”惡意代碼疫情迅速得到控制,蘋果已經撤銷惡意軟件的安裝證書,使惡意軟件無法進行安裝操作;且傳播源“麥芽地”網站已經于北京時間2014年11月07日17時關閉了蘋果APP大全的MAC軟件分享功能。
3 某傳播源文件分析
“麥芽地”傳播源雖告一段落,但百度云ekangwen206用戶分享的247個文件中全部帶有能夠感染iOS系統的“破界”惡意代碼,所有文件均為蘋果手機與平板的安裝應用程序,程序類別多樣,包括但不限于文字處理軟件、即時通訊軟件、游戲軟件、銀行終端軟件等。根據百度云盤記錄的下載次數,將所有應用下載次數進行匯總統計,截止目前共計下載72527次,其中下載RAR包文件70979次,下載DMG包文件1548次。
將下載文件解包后,對惡意安裝包的時間戳進行統計,根據樣本的時間戳內容,這些惡意文件應該是使用生成器統一生成,且編譯時間在2014/3/13(不排除人為修改可能),那么可推測這些惡意文件可能是在2014年3月就開始傳播了。
將下載的文件進行分析后發現RAR包樣本都有共性行為:解包后包含6個相同的DLL文件,一個“使用說明.txt”文件,一個與安裝包同名但后綴為.exe的文件。后綴為.exe文件均包含“破界”惡意文件,當其運行后將惡意文件釋放到TEMP目錄命名為“apps.ipa”,隨后調用iTunes接口安裝至iOS設備。后綴為.exe文件中除惡意代碼外還包含正常iOS安裝包,當其運行后釋放到TEMP目錄命名為“third.ipa”,隨后安裝至iOS設備。
Dmg包中也存在“破界”惡意代碼,其文件名稱更改為“infoplistab”,且其HASH值與“apps.ipa”的HASH值相同。