×

XCodeGhost事件与应急处理

SSEC

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-21 15:26 编辑

XcodeGhost事件及应急处理

XcodeGhost简述

XcodeGhost是一种手机病毒,传播途径是通过非官方下载的应用开发工具Xcode、Unity、cocos2dx。

此病毒于2015年9月被发现,最早爆出受影响的系统是苹果手机iOS,目前已有超过四千款iOS应用受到感染。后来XcodeGhost事件持续发酵,安卓系统也不能幸免于难,游戏开发工具Unity和cocos2dx的安卓版本也被感染。常见的手游如神庙逃亡、炉石传说、纪念碑谷等Android应用均是Unity开发的,不仅如此,某公司、网易云音乐等知名APP也对外承认受到了XcodeGhost事件的影响。

由于此事件影响范围之广,多家安全公司纷纷投入人力进行彻查与溯源,CCTV新闻频道也进行了专门的视频报道。分析指出,XcodeGhost病毒作者应该是蓄谋已久的,至少在半年前就开始收集苹果用户的信息,后来又持续在安卓平台做手脚。

有啥危害?
如果手机安装了受XcodeGhost病毒感染的APP,则该APP在接入网络时,会主动连接恶意域名 init.icloud-analysis.com ,并向该站点上传敏感信息(用户的Apple ID、帐号信息、支付信息、版本信息等)。更危险的是,黑客服务器是可以对受感染的设备下发控制指令的,包括在受空端执行打开网页、发短信、拨打电话、偷偷装上你不需要的APP等等操作。可以说,病毒作者可以对感染设备实现完全的控制。

当然,这不仅对某公司有潜在巨大危害,同时也给企业用户带来巨大的安全风险。手机、平板中的办公APP、业务APP存放的公司内部文件、营业数据、客户信息、产品机密参数等等,都可能被黑客非法窃取,损失是难以估量的。


感染途径
XcodeGhost病毒的初始传播途径主要是通过非官方下载的应用开发工具。例如对于苹果APP开发者来说,可能不是到官网Mac App Store里下载Xcode开发工具。为了个人方便(国内用户从国外站点下文件太慢了),到论坛提供的网盘下。而这类下载地址,就是病毒作者蓄意散布的,而此假Xcode已经被注入了XcodeGhost病毒。

所有使用这类假Xcode开发的APP,已经在开发过程中通过CoreService库文件进行感染,使编译出的APP被注入恶意代码。

开发人员将感染XcodeGhost的APP上传到AppStore,普通用户进行下载安装就中招了。

如何处理
已经部署了某公司防火墙产品的企业,只要开启僵尸网络模块的拒绝功能,即可防止信息泄露。



其他用户,建议将这个C2C服务器init.icloud-analysis.com 加入到黑名单中,阻断该恶意站点的流量,防止信息泄露。

另外,为彻底清除手机上的XcodeGhost病毒,建议卸载相关应用(不知道哪款应用中招的用户,建议将所有应用通通卸载重装)。苹果已经下架了受XcodeGhost影响的APP,后续更新的APP是可以放心下载的。
由于XcodeGhost病毒带有很明显的窃密行为,同时强烈建议中毒用户修改一切重要密码(邮箱密码、支付密码、银行密码……),避免不必要的损失。


新手350724 发表于 2019-5-17 16:09
  
出来混脸熟来了

热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人