[原創]XCodeGhost詳細技術分析[XCodeGhost內幕暴料]

gjden發表於2015-09-20
XCodeGhost詳細分析報告


   病毒名稱:XCodeGhost
   檔案: CoreServices
   分析師:gjden
   大小: 268020 位元組
   MD5: 4FA1B08FD7331CD36A8FC3302E85E2BC
   SHA1: F2961EDA0A224C955FE8040340AD76BA55909AD5
   C&C: init.icloud-analysis.com

    昨天對XCodeGhost做的分析,看雪老大讓我爆料,其實網上也有不少了[原創]XCodeGhost詳細技術分析[XCodeGhost內幕暴料],我就純技術上做了程式碼分析。因為太忙沒能好好整理一下,今天花了一些時間整理了一下,寫報告也是件辛苦的事兒。現在把整理好的報告發上來,貼了開頭部分,具體詳看附件PDF。原始碼已經公開了,但是那時已經分析得差不多了,不過還是不大習慣OC的語法,覺得IDA F5來得更加方便,因此報告中基本上都是IDA的截圖分析,懶得再再來排版了直接上PDF,分析不到位的,請見諒。
一、XCodeGhost簡述
    由於大量公司的開發人員從第三方網站下載了IOS應用的編譯工具XCode來進行APP的開發工作,導致大量APP在蘋果官方AppStroe上釋出的APP感染了後門XCodeGhost。這是蘋果IOS系統一次史無前例的大面積使用者感染惡性事件。搜尋引擎、各大雲盤、下載工具、共享社群等等均成為此後門的推廣和下載助推劑,甚至連騰訊微信都不能倖免,其感染的APP囊括了金融如同花順、中信銀行、中信銀行動卡空間、南京銀行等,遊戲如憤怒的小鳥2,航空如南方航空應用,社交如天涯社群,教育如網易公開課,播放器如萬能影音播放器等等數百款使用者日常使用APP均感染了此後門。

二、XCodeGhost到底有何危害?
    透過對XCodeGhost程式碼的深入分析,我們已經發現此惡意程式碼除了具備感染APP資訊收集的功能,其還具備一個可以遠端彈出定製系統對話方塊,遠端執行第三方APP,遠端開啟任意url,遠端控制下載任何APP等等功能,透過樣本收集的資訊結合功能強大的(openURL)可以實現對使用者系統完全控制。
XCodeGhost剛發現時,大部分廠商均只對XCodeGhost進行粗略的分析,網上流轉和刷屏的報告和新聞幾乎都認為這個插入到XCode中的幽靈只是收集一些無關緊要的資訊,包含作者利用社工庫賬號出來致歉所指出的只是獲取一些app的基本資訊,雖然看起來似乎沒什麼重要的資訊,但是實際上已經有收集資訊的嫌疑了。然而更具有危害潛力的實際是作者所謂的私心留了一個APP推廣下載的後門。這個推廣後門完全能利用openURL以及根據收集的資訊透過偽裝的系統對話方塊來實現一個非常隱秘的欺騙和強大的遠端控制。
核心功能:
    1)在APP各種執行狀態下,收集感染APP執行時狀態、應用名、應用版本號、系統版本號、語言、國家名、開發者符號、app安裝時間、裝置名稱、裝置型別上傳並且返回控制命令,控制端後臺完全可以根據這些資訊來自動傳送相應控制引數。
    2)檢測除錯和模擬器,防止在偵錯程式狀態時收集資訊。
    3)根據遠端控制設定彈出任何系統服務對話方塊,對話方塊標題,內容,按鈕均可遠端設定,並且可以根據URL設定(利用強大openURL)實現開啟第三方APP和系統自帶的一些功能,如自動發簡訊,打電話,啟動瀏覽器,郵箱等等。
    4)實現了可以不跳轉到APPStore來下載安裝指定APP
    5)所有的彈出對話方塊均可以遠端設定延遲時間來進行定時彈出。
具體看附件吧,另外修改後分析文章發到ADlab的微信公眾號上了

上傳的附件:

相關文章