PC TECH 電腦技術

  • 增大字號
  • 缺省字號
  • 減小字號

Palo Alto Networks 最新披露: 惡意軟件 XcodeGhost 更多細節

E-mail 打印 PDF

 

 

Palo Alto Networks 最新披露: 惡意軟件XcodeGhost更多細節

 

數天前,我們深入調查了一種名為XcodeGhost的新型惡意軟件,它存儲於App Store,可修改Xcode並感染iOS應用。研究還發現,超過39iOS應用程式已被感染,其中包括像最新版本的微信或滴滴打車這些非常流行的 應用程式,預計數億iOS用戶可能已受到影響。

 

此外,我們還分析了XcodeGhost的遠端控制功能,攻擊者可以借此功能實施釣魚或進一步的攻擊。更多關於XcodeGhost及其行為的細節將在下文中進行披露。

 

以下為網誌節錄內容:

 

· 應對措施

918日公佈該資訊以後,Palo Alto Networks公司已與蘋果、亞馬遜和百度達成合作,以共用樣本、威脅情報和研究資源。上述所有公司都已經採取措施,以阻止攻擊,緩解安全威脅。

 

918日開始,蘋果公司已經開始刪除其應用程式商店中被XcodeGhost感染的某些iOS應用。蘋果公司還給受影響的開發商發送了一封郵件,通過官方的Xcode引導他們重新編譯他們的產品,並再次重新提交。此外,蘋果公司已經承認XcodeGhost為惡意軟件,並已經影響到了App Store


 

cid:image002.png@01D0F572.5B1D0610

1 「鐵路12306」應用程式已暫時從App Store中被刪除

 

 

亞馬遜也已經採取行動,由於XcodeGhost能夠通過亞馬遜網絡服務中的C2伺服器上傳私隱資訊,並發送控制命令,所以,亞馬遜也關閉網絡服務中的所有C2伺服器。

 

百度已經刪除了其雲檔共用服務中所有的惡意Xcode安裝檔,使程式開發人員無意間下載被感染Xcode的機率大為降低。

 

截至921日,我們發現應用程式商店中仍然存在一些已被感染的iOS應用,其中也包括中國聯通移動辦公3.2版本。(圖2


 

cid:image003.jpg@01D0F572.5B1D0610

2 週一上午一個已受感染的應用程式在App Store中仍然可用

 

 

· 更多受感染的應用程式已被披露

過去數天,其他安全公司也聲稱,更多的iOS應用程式已感染XcodeGhost。例如,奇虎360在其博客中列出了344款被感染的應用程式。盤古團隊也聲稱,已經檢測到3418款被感染的不同的iOS應用程式。盤古團隊還發佈了一款iOS應用程式,可以用於檢測他們發現的木馬iOS應用。

 

目前我們還沒有證實他們的調查結果。但是,考慮到自20153月份以來惡意軟件Xcode安裝檔傳播的情況,3月份己開始運作的C2伺服器,與此同時,搗亂搜尋引擎的回覆,因此,如果iOS應用程式受影響的人數遠遠大於我們的想像,倒也不足為奇。

 

 · iOS用戶的安全建議

iOS使用者可以安裝盤古團隊的應用程式(在iPhoneiPad中直接訪問x.pangu.io),以檢測其安裝的應用程式是否受到感染。如果檢測到被感染的應用程式,我們建議使用者可以暫時把此程式刪除,等待更新的可用版本,再下載使用。

 

另外,有兩種方法也有助於減輕惡意軟件的潛在攻擊。一是,為您的Apple ID設定雙重驗證,二是,避免使用不信任的WiFi網絡。

 

即使完全遵守上述所有的步驟,對於iOS使用者來說保護自己免受此類惡意軟件的攻擊仍是一種挑戰。此次XcodeGhost事件備受關注,也促使了蘋果和開發者更關注程式安全以在未來防止類似的攻擊。

 

如欲閱讀全文,請瀏覽: Palo Alto Networks網誌

 


 

 

關於 Palo Alto Networks 

 

Palo Alto Networks 為引領網路安全新時代的新一代安全企業,可為全球數以萬計的企業保護應用,免受網路威脅。Palo Alto Networks極具顛覆性的安全平臺所提供的安全性遠高於傳統或單點產品,採用創新方法及高度差異化的網路威脅防禦功能,確保企業運營安全,並保護企業最重要的資產。更多內容請流覽www.paloaltonetworks.com 

 


 

作者:  Palo Alto Networks Unit 42 威脅研究分析員 Claud Xiao