网康慧眼云发现企业网络中的XcodeGhost失陷手机

网康慧眼云发现企业网络中的XcodeGhost失陷手机

黑客教程访客2021-10-11 22:35:0010614A+A-

9月14日,国家互联网应急中心CNCERT发布预警通告,目前最流行的苹果应用程序编译器XCODE被植入了恶意代码(XcodeGhost)。开发者使用非苹果公司官方渠道的XCODE工具开发苹果APP时,就有可能向该APP中植入恶意代码。由于XCODE的广泛应用,预计将会有超过一亿部iOS移动终端受到影响。

XcodeGhost是如何控制上亿部iOS设备的
用户在iOS设备上安装了被感染的APP后,设备在接入互联网时APP会回连恶意URL地址init.icloud-analysis.com,并向该URL上传敏感信息(如设备型号、iOS 版本):

回连的C&C服务器会根据获取到的设备信息下发控制指令,从而完全控制设备,可以在受控设备上执行打开网页、发送短信、拨打电话、打开设备上所安装的其他APP等操作。由于苹果应用商店是个相对封闭的生态系统,用户一般都会充分信任从应用商店下载的APP,因此此次事件的影响面和危害程度前所未有,有可能是苹果有史以来所面临的最严重的安全危机。

 

XcodeGhost失陷手机检测过程回放
慧眼云可以识别企业WiFi网络中所有接入的移动终端设备并记录其网络连接行为。通过与该恶意URL相关的威胁情报,就可以检测出已经被感染的移动终端设备,并基于网康的用户和应用识别能力,进一步确定被感染用户及其所使用的APP。

Step 1 通过威胁情报和异常行为分析,发现失陷的手机

Step 2 检测该手机的威胁活动

Step 3 威胁活动详情,可以看到大量到init.icloud-analysis.com的连接

Step 4 确定失陷终端后,基于用户和应用识别,准确锁定用户和被感染的APP

小结:与大多数安全厂商从分析被感染的APP入手不同,网康独辟蹊径,利用慧眼云的威胁情报生成能力,以被感染APP所产生的恶意流量为线索检测失陷手机,并借助网康在应用识别(尤其是移动应用识别)方面的技术优势精准锁定失陷手机中产生恶意流量的APP。事实再次证明,无论恶意行为如何隐藏,终究会留下蛛丝马迹。也许终端无法检测,但通过云和大数据技术对异常行为做深度关联分析,隐秘的地下行为终究无可遁形。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 孤鱼萌懂2022-06-11 13:43:12
  • 动终端设备,并基于网康的用户和应用识别能力,进一步确定被感染用户及其所使用的APP。Step 1 通过威胁情报和异常行为分析,发现失陷的手机Step 2 检测该手机的威胁活动Step 3 威胁活动详情,可以看到大量到init.icloud-analysis.com
  • 瑰颈傻梦2022-06-11 16:07:03
  • 由于苹果应用商店是个相对封闭的生态系统,用户一般都会充分信任从应用商店下载的APP,因此此次事件的影响面和危害程度前所未有,有可能是苹果有史以来所面临的最严重的安全危机。 XcodeGhost失陷手机检测过程回放慧眼云可以识别企业WiF
  • 晴枙怀桔2022-06-11 10:13:50
  • ud-analysis.com的连接Step 4 确定失陷终端后,基于用户和应用识别,准确锁定用户和被感染的APP小结:与大多数安全厂商从分析被感染的APP入手不同,网康独辟蹊径,利用慧眼云的威胁情报生成能力,以被感染APP所产生的恶意流量为线索检测失陷手机
  • 闹旅叔途2022-06-11 10:32:54
  • 开发苹果APP时,就有可能向该APP中植入恶意代码。由于XCODE的广泛应用,预计将会有超过一亿部iOS移动终端受到影响。XcodeGhost是如何控制上亿部iOS设备的用户在iOS

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理