XCodeGhost

啸笑天

浏览: 3461155 次
性别:
来自: China

最近访客更多访客>>

zbguohua

rangelee

chen88358323

lucifer821031

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

XCodeGhost源码：

https://github.com/XcodeGhostSource/XcodeGhost

XCodeGhost攻击原理：

从传统的利用应用漏洞攻击转为利用编程语言灵活性及开发工具配置修改的攻击，攻击手法隐蔽，攻击代码逆向分析非常具有迷惑性。

#本次攻击不是利用某个应用的漏洞进行攻击，而是修改XCode软件的加载动态库配置文件（具体哪个文件不介绍了，毕竟知道的人越少越好），使得所有使用被修改过的XCode软件开发的APP都被感染。

#利用Object-C的扩展类功能从而重写UIWindow父类的makeKeyAndVisible函数，从而导致在系统应用启动时调用自己写的makeKeyAndVisible函数从而启动恶意代码。其它面向对象语言如Java，C++没有此功能。

XCodeGhost检查及防范：

1、检查Xcode

检测方式是恶意 Xcode 包含有如下文件：

/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService

正常的 Xcode 下面无 Library 目录，为如下形式：

/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/

命令查找

find /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs –name "CoreService"

为了防止app被插入恶意库文件，开发者除了检测”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的framework文件之外，还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths中的设置。看看是否有可疑的frameworks混杂其中：

另外因为最近iOS dylib病毒也十分泛滥，为了防止开发者中招，支付宝的小伙伴还提供了一个防止被dylib hook的小技巧：在Build Settings中找到“Other Linker Flags”在其中加上”-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null”即可。

很多开发者们担心最近下载的Xcode 7也不安全。这里笔者没有使用任何下载工具的情况在苹果官网上下载了Xcode_7.dmg并计算了sha1的值。

http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg

$ shasum Xcode_7.dmg

4afc067e5fc9266413c157167a123c8cdfdfb15e Xcode_7.dmg

建议从mac app store下载Xcode，检查Xcode来源：终端执行

spctl --assess --verbose /Applications/Xcode.app

如果 Xcode 从 Mac App Store 下载，会返回：

/Applications/Xcode.app: accepted

source=Mac App Store

如果从苹果开发者网站下载会返回：

/Applications/Xcode.app: accepted

source=Apple

或：

/Applications/Xcode.app: accepted

source=Apple System

2、检查app，framework

find . -type f |xargs grep "http://init.icloud-analysis.com"

参考：

警惕 Xcode 木马！

Xcode编译器里有鬼 – XcodeGhost 样本分析

XcodeGhost截胡攻击和服务端的复现，以及UnityGhost预警

参考ppt（附件）

蒸米_MDCC2015_print.pdf (3 MB)
下载次数: 0

分享到：

Swift之Generator/Sequence/Collection | Swift柯里化（Currying）

2015-11-05 18:14
浏览 1510
评论(1)
分类:移动开发
查看更多

1 楼啸笑天 2015-11-05

find . -type f |xargs grep "http://init.icloud-analysis.com"
find . -type f |xargs grep "http://init.crash-analytics.com"
find . -type f |xargs grep "http://init.icloud-diagnostics.com"
find . -type f |xargs grep "http://init.icloud-analysis.com"
find . -type f |xargs grep "http://init.icloud-diagnose.com"
find . -type f |xargs grep "AppleIncReserved"
find . -type f |xargs grep "UIDevice(Reserved)"
find . -type f |xargs grep "CLASS_METHODS_UIDevice_$_Reserved"

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

XCodeGhost

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

XCodeGhost

评论

发表评论

相关推荐

iOS11-sdk11-xcode9-iphone8/8+/x适配

iPhoneX指示条(visual indicator)

swift项目在iOS8 通过init(nibName nibNameOrNil: String?, bundle nibBundleOrNil: Bundle

iOS10.3中划线失效

iOS的标识符

管理你的第二屏（airPlay）

strong修饰符实现weak效果（对象释放时，属性置nil）

AVPlayer 截屏（swift3.0）

CATransform3D

CMTime

多媒体的一些基础概念

iOS10/sdk10/xcode8/iphone7(+)/swift3适配

runloop小结

iOS的framework动态库

WebView图片自适应屏幕

UIModalPresentationFormSheet模式下隐藏键盘

图片抗锯齿处理方法

NSURLSession

HTTP简介

CFString​Transform

最近访客更多访客>>

CFStringTransform