涅槃团队:Xcode幽灵病毒存在恶意下发木马行为

2015-09-19 561259人围观 ,发现 40 个不明物体 漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

本文是 360 Nirvan Team 团队针对 XcodeGhost 的第二篇分析文章。

我们还原了恶意iOS应用与C2服务器的通信协议,从而可以实际测试受感染的iOS应用有哪些恶意行为。

最后,我们分析了攻击的发起点:Xcode,分析了其存在的弱点,以及利用过程,并验证了该攻击方法。

一、恶意行为与C2服务器

1、通信密钥分析

恶意程序将其与服务器通信的数据做了加密,如下图所示:

密钥的计算方法:

通过分析,密钥为:stringWi,生成密钥的方式比较有迷惑性。

2、恶意行为分析

恶意行为一:做应用推广

方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。

我们逆向了恶意代码与C2服务器的通信协议,搭建了一个测试的C2服务器。然后通过C2服务器可以控制客户端安装第三方应用(演示应用为测试应用,不代表恶意软件推广该应用),见视频:

这是第一个针对 XcodeGhost 能力的视频演示

恶意行为二:伪造内购页面

相关代码如下:

恶意行为三:通过远程控制,在用户手机上提示‍

二、Xcode 的弱点及利用

1、Xcode 的利用过程描述

Xcode 中存在一个配置文件,该配置文件可以用来控制编译器的链接行为,在受感染的Xcode中,该文件被修改,从而在链接阶段使程序链接含有恶意代码的对象文件,实现向正常iOS应用中注入恶意代码的目的。

被修改的文件内容如下:

从上图可以看到,程序会链接恶意对象文件 CoreService。

从链接过程的Log中可以看到其实如何影响链接过程的:

注:实际上可以让CoreService从文件系统中消失,且在链接Log中没有任何额外信息。

通过在配置文件中添加的链接选项,在工程的编译设置中无法看到,这就增加隐蔽性:

2、对恶意代码 CoreService 的分析

首先 CoreService 的文件类型为:Object,即对象文件。

查看 CoreService 中的符号,可以看到:

导入的符号有:

3、验证概念

首先编写一个ObjC的类,测试如下图:

制作出对象文件ProteasInjector.o,然后用这个文件替换掉CoreService文件,编译程序,然后反汇编,结果如下:

可以看到代码被注入到应用中。

* 作者/360NirvanTeam(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • RAyH4c (2级) 回复
    @ 360bb
    这条以后我就不发言了,被恶心到了,我站出来说话,是因为这个标题是我建议freebuf和涅槃团队写的,我要对这篇文档的标题负责。整个事件360多个team通力合作已经清清楚楚还原了。
    我已经看到全部的调查报告,多人团伙,2015年3月开始活跃,注册了十多个域名用于恶意下发多款app,什么域名什么app,清清楚楚,我个人代表不了公司,等360官方后续的报告还原!
    以后360的竞争对手正大光明一点,来挑事的个人直接一点,别找诸多借口,会挑事就不要怕事,我也是较真的人!!!
    )16( 亮了
  • RAyH4c (2级) 回复
    @ 这个要匿名 你要这么严谨 去挑挑平底锅和阿里报告里的刺 都是完全无瑕的报告 圣人报告
    这不过是团队的一篇纯技术分析 不是你那个标准的学术研究
    )9( 亮了
  • kasimir (2级) 回复
    额额额额.无言中
    )8( 亮了
  • ClaudXiao 回复
    1. 终于有人找出了Xcode链接路径的修改点;2. 在安全研究中,“可以做”和“存在/做了”完全是两回事,这就像说一个人拥有枪可以杀人和拥有抢已经杀了人一样,差别太大,建议你们行文谨慎再谨慎。
    )8( 亮了
  • skinstudio 回复
    感觉隔壁腾讯分析的文章条理更清楚一点。这个虽然感觉做了很多干货,关键细节却不提。技术内容又太多可读性查,两头不讨好。但是不能否认逆向水平超级棒
    )8( 亮了
发表评论

已有 40 条评论

访客评论被关闭

Loading...
360NirvanTeam

这家伙太懒,还未填写个人描述!

4 文章数 1 评论数 0 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php