Xcode编译器里有鬼 – XcodeGhost样本分析

2015年09月18日 16:02 8494

事情的起因是@唐巧_boy在微博上发了一条消息说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的被注入。

Xcode编译器里有鬼 – XcodeGhost样本分析-XcodeGhost-阿里聚安全

随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmgsha1是:a836d8fa0fce198e061b7b38b826178b44c053a8,官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0,大家一定要校验。另外还有一位小伙伴表示他是在百度网盘上下载的,也中招了。

一,样本分析

@疯狗的帮助下,我们得到了病毒样本:CoreService库文件,因为用带这个库的Xcode编译出的都会中毒,所以我们给这个样本起名为:XcodeGhostCoreService是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/”目录下发现的,这个样本的基本信息如下:

$shasum CoreService

f2961eda0a224c955fe8040340ad76ba55909ad5  CoreService

$file CoreService

CoreService: Mach-O universal binary with 5 architectures

CoreService (for architecture i386):          Mach-O object i386

CoreService (for architecture x86_64):      Mach-O 64-bit object x86_64

CoreService (for architecture armv7):       Mach-O object arm

CoreService (for architecture armv7s):     Mach-O object arm

CoreService (for architecture arm64):       Mach-O 64-bit object

ida打开,发现样本非常简单,只有少量函数。主要的功能就是先收集一些iPhone和的基本信息,包括:时间,bundle id(包名),应用名称,系统版本,语言,国家等。如图所示:

Xcode编译器里有鬼 – XcodeGhost样本分析-iOS后门-阿里聚安全

随后会把这些信息上传到 init.icloud-analysis.com。如图所示:

Xcode编译器里有鬼 – XcodeGhost样本分析-Xcode后门-阿里聚安全

http://init.icloud-analysis.com并不是apple 的官方网站,而是病毒作者所申请的仿冒网站,用来收集数据信息的。

Xcode编译器里有鬼 – XcodeGhost样本分析-XcodeGhost-阿里聚安全

目前该网站的服务器已经关闭,用whois查询服务器信息也没有太多可以挖掘的地方。这说明病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹,所以不排除以后还会继续做作案的可能。

二,检测方法

为了防止被插入恶意库文件,开发者除了检测”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的framework文件之外,还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths中的设置。看看是否有可疑的frameworks混杂其中:

Xcode编译器里有鬼 – XcodeGhost样本分析-iOS后门-阿里聚安全

另外因为最近iOS dylib病毒也十分泛滥,为了防止开发者中招,支付宝的小伙伴还提供了一个防止被dylib hook的小技巧:在Build Settings中找到“Other Linker Flags”在其中加上”-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null”即可。

Xcode编译器里有鬼 – XcodeGhost样本分析-Xcode后门-阿里聚安全

最后的建议是:以后下载Xcode编译器尽可能使用官方渠道,以免被打包进恶意的病毒库。如果非要用非官方渠道,一定要在下载后校验一下哈希值。

三,思考&总结

虽然XcodeGhost并没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。也许这只是病毒作者试试水而已,可能随后还会有更大的动作,请开发者务必要小心。这个病毒让我想到了UNIX 之父 Ken Thompson 的图灵奖演讲 “Reflections of Trusting Trust”。他曾经假设可以实现了一个修改的 tcc,用它编译 su login 能产生后门,用修改的tcc编译“正版”的 tcc 代码也能够产生有着同样后门的 tcc。也就是不论 bootstrap ( tcc 编译 tcc) 多少次,不论如何查看源码都无法发现后门,真是细思恐极啊。

四,追加更新

1.     很多开发者们担心最近下载的Xcode 7也不安全。这里笔者没有使用任何下载工具的情况在苹果官网上下载了Xcode_7.dmg并计算了sha1的值。

http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg

$ shasum Xcode_7.dmg

4afc067e5fc9266413c157167a123c8cdfdfb15e  Xcode_7.dmg

Xcode编译器里有鬼 – XcodeGhost样本分析-XcodeGhost-阿里聚安全

所以如果在非App Store下载的各位开发者们可以用shasum校验一下自己下载的Xcode 7是否是原版。

2.     @FlowerCode同学通过分析流量发现病毒开发者的服务器是搭建在Amazon EC2的云上的。虽然服务器已经关闭,但我们已经联系到上了Amazon Security Team的同学去调查log了。欲知后事如何,敬请期待我们后续的分析报道。

Xcode编译器里有鬼 – XcodeGhost样本分析-iOS后门-阿里聚安全

3.    根据palo alto networks公司爆料,被感染的知名App Store应用为网易云音乐!该应用在AppStore上的最新版本2.8.3已经确认被感染。并且该应用的Xcode编译版本为6.4(6E35b),也就是XcodeGhost病毒所感染的那个版本。”网易云音乐”在AppStore上目前的状态:

Xcode编译器里有鬼 – XcodeGhost样本分析-Xcode后门-阿里聚安全

Xcode编译器里有鬼 – XcodeGhost样本分析-XcodeGhost-阿里聚安全

网易云音乐逆向后的函数列表,可以找到XcodeGhost所插入的函数:

Xcode编译器里有鬼 – XcodeGhost样本分析-iOS后门-阿里聚安全

受感染的网易云音乐”app会把手机隐私信息发送到病毒作者的服务器”init.icloud-analysis.com”上面:

Xcode编译器里有鬼 – XcodeGhost样本分析-Xcode后门-阿里聚安全

                                                                                                    作者: 蒸米,迅迪 @阿里移动安全

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录