XcodeGhost - XcodeGhost

XcodeGhost (va variant XcodeGhost S) - bu Apple-ning o'zgartirilgan versiyalari Xkod ko'rib chiqiladigan rivojlanish muhiti zararli dastur.[1] Dasturiy ta'minot birinchi marta 2015 yil sentyabr oyida, Xitoydan kelib chiqqan bir qator dasturlarda zararli kod saqlanganda keng e'tibor qozondi.[2] Bu "Apple App Store-ga birinchi keng ko'lamli hujum" deb o'ylardi,[3] BBC xabariga ko'ra. Muammolarni dastlab tadqiqotchilar aniqladilar Alibaba, Xitoyning etakchi elektron tijorat firmasi.[4] FireEye ma'lumotlariga ko'ra, 4000 dan ortiq dastur yuqtirildi, bu avval Apple tomonidan tan olingan 25 ta dasturdan ancha ko'p,[5] shu jumladan Xitoy tashqarisidagi mualliflarning dasturlari.

Xavfsizlik firmasi Palo Alto tarmoqlari Xitoyda tarmoq tezligi pastroq bo'lganligi sababli, mamlakatdagi ishlab chiquvchilar Apple Xcode ishlab chiqish muhitining mahalliy nusxalarini qidirib topdilar va mahalliy veb-saytlarda joylashtirilgan o'zgartirilgan versiyalarga duch kelishdi. Bu zararli dasturiy ta'minotni iOS qurilmalarida ishlatiladigan yuqori darajadagi dasturlarga kiritish uchun eshikni ochdi.[6][7]

Dastlabki hisobotlardan ikki oy o'tgach ham FireEye xavfsizlik firmasi yuzlab korxonalar virusli dasturlardan foydalanayotgani va XcodeGhost "doimiy xavfsizlik xavfi" bo'lib qolayotgani haqida xabar berdi.[8][9] Shuningdek, firma zararli dasturning yangi variantini aniqladi va uni XcodeGhost S deb nomladi; yuqtirgan dasturlar orasida mashhur xabar almashish dasturi mavjud edi WeChat va a Netease ilova Musiqa 163.[10]

Kashfiyot

2015 yil 16 sentyabrda Xitoyning iOS ishlab chiqaruvchisi eslatib o'tdi[11] ijtimoiy tarmoqda Sina Veybo Xcode-dagi zararli dastur u bilan tuzilgan dasturlarga uchinchi tomon kodini kiritishi.

Alibaba tadqiqotchilar keyinchalik nashr etishdi[12] zararli dastur haqida batafsil ma'lumot va uni XcodeGhost deb nomlagan.

2015 yil 17 sentyabrda, Palo Alto tarmoqlari zararli dastur haqida bir nechta hisobotlarni nashr etdi.[13][14][15][16]

Ishlash

Ko'paytirish

Tufayli sekin yuklab olish tezligi Apple serverlaridan, xitoylik iOS ishlab chiquvchilari, masalan, uchinchi tomon veb-saytlaridan Xcode-ni yuklab olishadi Baidu Yun (hozirda Baidu WangPan deb nomlangan), Baidu tomonidan joylashtirilgan bulutli saqlash xizmati yoki hamkasblaridan nusxalarini olish. Hujumchilar ushbu vaziyatdan foydalanib, bunday fayllarni joylashtirish veb-saytlarida buzilgan versiyalarni tarqatishdi.[17]

Palo Alto tarmoqlari zararli dastur 2015 yil mart oyida mavjud bo'lganligiga shubha qilmoqda.[16]

Hujum vektori

Kelib chiqishi

Oqib chiqqan hujjat Edvard Snouden. "Strawhorse: MacOS-ga hujum qilish va iOS dasturiy ta'minotini ishlab chiqish to'plami ".

Hujumchi a kompilyator orqa eshik hujum. Ushbu hujumning yangiligi - Xcode kompilyatorining modifikatsiyasi. Biroq, tomonidan tarqatilgan hujjatlarga ko'ra Edvard Snouden, Markaziy razvedka boshqarmasi xavfsizlik tadqiqotchilari Sandia milliy laboratoriyalari ular "Apple-ning xususiy dasturiy ta'minotni ishlab chiqish vositasi Xcode-ning o'zgartirilgan versiyasini yaratdik, bu vositadan foydalanib yaratilgan har qanday dastur yoki dasturga kuzatuv eshigini yashirishi mumkin edi" deb da'vo qilmoqda.[18]

O'zgartirilgan fayllar

XcodeGhost-ning ma'lum versiyalari qo'shimcha fayllarni qo'shadi[13] asl Xcode dasturiga:

  • IOS, iOS simulyatori va OS X platformalaridagi asosiy xizmat doirasi
  • IDEBundleInjection ramkasi iOS, iOS simulyatori va OS X platformalarida qo'shilgan

XcodeGhost shuningdek bog'lovchi zararli fayllarni bog'lash uchun[16] tuzilgan dasturga. Ushbu qadam kompilyatsiya jurnalida xabar qilinadi, lekin Xcode-da emas IDE.

Ikkala iOS va OS X dasturlari ham XcodeGhost uchun himoyasiz.

Joylashtirish

XcodeGhost CoreServices qatlamini xavf ostiga qo'ydi, bu dasturda juda ko'p ishlatiladigan xususiyatlar va ramkalar mavjud.[19] Ishlab chiquvchi o'z dasturini Xcode-ning buzilgan versiyasi bilan kompilyatsiya qilganda, zararli CoreServices dasturga avtomatik ravishda dasturga qo'shiladi.

Keyin zararli fayllar UIWindow sinfiga va UIDevice sinfiga qo'shimcha kod qo'shadi. UIWindow sinfi - "qurilma ekranida dastur ko'rsatadigan ko'rinishni boshqaradigan va muvofiqlashtiradigan ob'ekt".[20]

UIDevice sinfi a singleton joriy qurilmani aks ettiruvchi misol. Ushbu holatdan tajovuzkor qurilma, tayinlangan ism, qurilma modeli va operatsion tizim nomi va versiyasi kabi ma'lumotlarni olishlari mumkin.[21]

Yuqtirilgan qurilmalarda o'zini tutish

Masofadan boshqarish pultidagi xavfsizlik xavfi

XcodeGhost masofadan turib tajovuzkor tomonidan yuborilgan buyruqlar orqali boshqarilishi mumkin Buyruq va boshqaruv serveri HTTP orqali. Ushbu ma'lumotlar. Yordamida shifrlangan DES algoritm ECB rejimi. Ushbu shifrlash rejimi nafaqat zaif ekanligi ma'lum, balki teskari muhandislik yordamida ham shifrlash kalitlarini topish mumkin. Hujumchi a o'rtadagi hujumda bo'lgan odam va soxta HTTP trafigini qurilmaga uzatish (dialog oynasini ochish yoki masalan, ma'lum bir dasturni ochish uchun).

Foydalanuvchi qurilmasi ma'lumotlarini o'g'irlash

Infektsiyalangan dastur ishga tushirilganda, iPhone yoki Xcode ichidagi simulyator yordamida XcodeGhost avtomatik ravishda qurilmadagi ma'lumotlarni to'playdi:

  • Hozirgi vaqt
  • Joriy yuqtirilgan dastur nomi
  • Ilova to'plami identifikatori
  • Joriy qurilmaning nomi va turi
  • Amaldagi tizimning tili va mamlakati
  • Joriy qurilma UUID
  • Tarmoq turi

Keyin zararli dastur ushbu ma'lumotlarni shifrlaydi va a-ga yuboradi buyruq va boshqaruv serveri. Server XcodeGhost versiyasidan versiyasiga farq qiladi; Palo Alto Networks uchta server URL manzilini topdi:

  • http://init.crash-analytics.com
  • http://init.icloud-diagnostics.com
  • http://init.icloud-analysis.com

So'nggi domen iOS zararli dasturida ham ishlatilgan KeyRaider.[13]

Buferdan o'qing va yozing

XcodeGhost, har safar virusli dastur ishga tushirilganda, iOS buferiga yozilgan ma'lumotlarni saqlashga qodir. Zararli dastur ushbu ma'lumotlarni o'zgartirishi mumkin. Agar foydalanuvchi parolni boshqarish dasturidan foydalansa, bu ayniqsa xavfli bo'lishi mumkin.

Maxsus URL-larni ochish

XcodeGhost shuningdek, yuqtirilgan dastur ishga tushirilganda ma'lum URL-larni ochishi mumkin. Apple iOS va OS X ilovalararo aloqa URL mexanizmi bilan ishlagani uchun[22] (masalan, 'whatsapp: //', 'Facebook: //', 'iTunes: //'), tajovuzkor virusga chalingan macOS dasturida buzilgan telefon yoki kompyuterga o'rnatilgan har qanday dasturni ochishi mumkin. Bunday mexanizm parollarni boshqarish dasturlari yoki hatto fishing veb-saytlarida zararli bo'lishi mumkin.

Ogohlantirish oynasini chaqirish

XcodeGhost hozirgi ma'lum versiyasida foydalanuvchi qurilmasidagi ogohlantirish oynalarini taklif qila olmaydi.[16] Biroq, bu faqat kichik o'zgarishlarni talab qiladi.

UIAlertViewStyleLoginAndPasswordInput xususiyati bilan UIAlertView sinfidan foydalanib, yuqtirilgan dastur oddiy Apple ID foydalanuvchi hisobga olish ma'lumotlari tekshiruviga o'xshash soxta ogohlantirish dialog oynasini ko'rsatishi va buyruqni boshqarish serveriga yuborishi mumkin.

Yuqtirilgan ilovalar

Barcha xitoy dasturlari orasida IM xabarlari, bank dasturlari, mobil aloqa operatorining ilovalari, xaritalar, birja savdo dasturlari, SNS dasturlari va o'yinlari yuqtirildi. Kabi butun dunyoda ishlatiladigan mashhur dasturlar ham yuqtirildi WeChat, mashhur tezkor xabar almashish dasturi, CamScanner, smartfon kamerasi yordamida hujjatni skanerlash uchun dastur yoki WinZip.

Pangu jamoasi 3418 ta yuqtirilgan dasturni hisoblaganliklarini da'vo qilishdi.[23]

Niderlandiyada joylashgan Fox-it xavfsizlik kompaniyasining xabar berishicha, ular Xitoydan tashqarida minglab zararli transport vositalarini topdilar.[24][25]

Olib tashlash

Buyruq va boshqaruv serverlari va Xcode-ning buzilgan versiyalarini zararsizlantirish

Maqolasidan beri Alibaba va Palo Alto tarmoqlari, Amazon XcodeGhost tomonidan ishlatilgan barcha serverlarni olib tashladi. Baidu barcha zararli Xcode o'rnatuvchilarni bulutli saqlash xizmatidan olib tashladi.

App Store-dan zararli dasturlarni olib tashlash

2015 yil 18-sentabrda Apple zararli dastur mavjudligini tan oldi va buzilgan dasturlarga ega bo'lgan barcha ishlab chiquvchilardan ularni qayta ko'rib chiqish uchun yuborishdan oldin o'zlarining dasturlarini Xcode-ning toza versiyasi bilan kompilyatsiya qilishni iltimos qila boshladi.

Pangu jamoasi vositani chiqardi[26] qurilmadagi virusli dasturlarni aniqlash uchun, ammo boshqa antivirus dasturlari singari u ishlamagan qurilmada ishlamaydi jailbreak. Apple antivirus dasturlarini iOS App Store-ga kiritishga ruxsat bermaydi.[27]

Xcode versiyasini tekshirish

Apple Xcode ishlab chiquvchilariga tekshirishni maslahat beradi[28][29] ularning Xcode versiyasi va har doim bo'lishi kerak Darvozabon ularning mashinasida faollashtirilgan.

Adabiyotlar

  1. ^ Dan Gudin (2015 yil 21 sentyabr). "Apple 40 zararli" XcodeGhost "dasturidan so'ng App Store-ni ta'qib qilmoqda". Ars Technica. Olingan 2015-11-05.
  2. ^ Djo Rossignol (2015 yil 20-sentabr). "XcodeGhost iOS zararli dasturi haqida nimalarni bilishingiz kerak". macrumors.com. Olingan 2015-11-05.
  3. ^ "Apple-ning App Store do'konida XcodeGhost zararli dasturi Xitoyda yuqtirildi". BBC yangiliklari. 2015-09-21. Olingan 2016-09-22.
  4. ^ "Apple-ning App Store do'konida XcodeGhost zararli dasturi Xitoyda yuqtirildi". BBC yangiliklari. 2015 yil 21 sentyabr. Olingan 2015-11-05.
  5. ^ https://www.fireeye.com/blog/execution-perspective/2015/09/protecting_our_custo.html
  6. ^ Byford, Sem (2015 yil 20-sentyabr). "Xavfsizlik buzilganidan keyin Apple zararli dasturlardan yuqtirilgan App Store dasturlarini olib tashlaydi". The Verge. Olingan 2015-11-05.
  7. ^ Jeyms Temperton (2015 yil 21 sentyabr). "Apple App Store-ning buzilishi: XcodeGhost hujumi Xitoyni (Simli Buyuk Britaniya) urdi". Simli Buyuk Britaniya. Olingan 2015-11-05.
  8. ^ Kirk, Jeremy (2015 yil 4-noyabr). "AQShning ko'plab korxonalarida XcodeGhost yuqtirgan Apple dasturlari hanuzgacha ishlaydi, deydi FireEye". InfoWorld. Olingan 2015-11-05.
  9. ^ Ben Lavjoy (2015 yil 4-noyabr). "XcodeGhost-ning o'zgartirilgan versiyasi tahdid bo'lib qolmoqda, chunki 210 ta korxonada buzilgan dasturlar topilgan". 9to5Mac. Olingan 2015-11-05.
  10. ^ Yong Kang; Zhaofeng Chen; Raymond Vey (2015 yil 3-noyabr). "XcodeGhost S: AQShda yangi zot paydo bo'ldi". FireEye. Olingan 2015-11-05. XcodeGhost S: AQShda yangi zot paydo bo'ldi
  11. ^ "SinaWeibo-da XcodeGhost haqida birinchi eslatma". Sina Veybo. 2015 yil 17 sentyabr. Olingan 2015-11-11.
  12. ^ "Xcode 编译 器 里 有鬼 - XcodeGhost 样本 分析 - 安全 漏洞 - 安全 研究 - 阿里 聚 安全".. jaq.alibaba.com. Olingan 2015-11-11.
  13. ^ a b v Klod Syao (2015 yil 17 sentyabr). "XcodeGhost zararli dasturiy ta'minoti Xcode-ni o'zgartiradi, Apple iOS dasturlariga zarar etkazadi va App Store-ga hujum qiladi - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2015-11-11.
  14. ^ Klod Syao (2015 yil 18 sentyabr). "Zararli dasturiy ta'minot XcodeGhost yuzlab million foydalanuvchilarga ta'sir ko'rsatadigan WeChat-ni o'z ichiga olgan 39 ta iOS dasturini yuqtiradi - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2015-11-11.
  15. ^ Klod Syao (2015 yil 18 sentyabr). "Yangilanish: XcodeGhost hujumchisi parollarni ishlatishi va yuqtirilgan dasturlar orqali URL manzillarini ochishi mumkin - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2015-11-11.
  16. ^ a b v d Klod Syao (2015 yil 21 sentyabr). "XcodeGhost zararli dasturlari va ta'sirlangan iOS dasturlari haqida batafsil ma'lumot - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2015-11-11.
  17. ^ Tomas Foks-Brewster (2015 yil 18-sentabr). "Hackerlar iCloud parollarini o'g'irlash uchun Apple App Store-ga zararli dasturlarni yashirmoqdalar"'". Forbes. Olingan 2015-11-11.
  18. ^ Jeremy Scahill; Josh Begli (2015 yil 10 mart). "Markaziy razvedka boshqarmasi Apple sirlarini o'g'irlash kampaniyasi". Intercept. Olingan 2015-11-11.
  19. ^ "Asosiy xizmatlar qatlami". developer.apple.com. Olingan 2015-11-11.
  20. ^ "UIWindow sinf ma'lumotnomasi". developer.apple.com. Olingan 2015-11-11.
  21. ^ "UIDevice Class ma'lumotnomasi". developer.apple.com. Olingan 2015-11-11.
  22. ^ "Ilovalararo aloqa". developer.apple.com. Olingan 2015-11-11.
  23. ^ "Pangu jamoasi Weibo-da". 2015 yil 21 sentyabr. Olingan 2015-11-11.
  24. ^ "Fox-IT va Palo Alto Networks birgalikda olib borilgan tadqiqotlar zararli dastur bilan yuqtirilgan mashhur dasturlarni aniqladi". Tulki-it. 2015 yil 18 sentyabr. Arxivlangan asl nusxasi 2016-08-12. Olingan 2015-11-11.
  25. ^ Tomas, Brewster (2015 yil 18-sentabr). "Hackerlar iCloud parollarini o'g'irlash uchun Apple App Store-ga zararli dasturlarni yashirmoqdalar"'". Arxivlandi asl nusxasidan 2016 yil 25-noyabrda.
  26. ^ "Xcode 病毒 检测, XcodeGhost 病毒 检测 - 盘古 越狱".. x.pangu.io. Olingan 2015-11-11.
  27. ^ Xaslam, Karen. "Nima uchun iOS ilovasi XcodeGhost ekspluatatsiyasi sizga tegishli bo'lmasligi kerak". Macworld UK. Olingan 2017-09-24.
  28. ^ "有关 XcodeGhost 的 问题 和 解答". olma. Arxivlandi asl nusxasi 2015 yil 14 noyabrda. Olingan 17 iyun, 2016.
  29. ^ "Xcode versiyangizni tasdiqlash - Yangiliklar va yangilanishlar - Apple Developer". developer.apple.com. Olingan 2015-11-11.