XCode病毒事件之XCodeGhost樣本分析

作者：蒸米，迅迪 @阿里移動(dòng)安全 2015-09-18 22:11:33

事情的起因是@唐巧_boy在微博上發(fā)了一條微博說(shuō)到：一個(gè)朋友告訴我他們通過(guò)在非官方渠道下載的 Xcode 編譯出來(lái)的 app 被注入了第三方的代碼，會(huì)向一個(gè)網(wǎng)站上傳數(shù)據(jù)，目前已知兩個(gè)知名的 App 被注入。

0x00 序

隨后很多留言的小伙伴們紛紛表示中招，@誰(shuí)敢亂說(shuō)話表示：”還是不能相信迅雷，我是把官網(wǎng)上的下載URL復(fù)制到迅雷里下載的，還是中招了。我說(shuō)一下：有問(wèn)題的Xcode6.4.dmg的sha1是：a836d8fa0fce198e061b7b38b826178b44c053a8，官方正確的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0，大家一定要校驗(yàn)。”另外還有一位小伙伴表示他是在百度網(wǎng)盤上下載的，也中招了。

0x01 樣本分析

在@瘋狗 @longye的幫助下，@JoeyBlue_ 為我們提供了病毒樣本:CoreService庫(kù)文件，因?yàn)橛脦н@個(gè)庫(kù)的Xcode編譯出的app都會(huì)中毒，所以我們給這個(gè)樣本起名為：XCodeGhost。CoreService是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/”目錄下發(fā)現(xiàn)的，這個(gè)樣本的基本信息如下：

12345678910$shasum CoreService

f2961eda0a224c955fe8040340ad76ba55909ad5 CoreService

$file CoreService

CoreService: Mach-O universal binary with 5 architectures

CoreService (for architecture i386): Mach-O object i386

CoreService (for architecture x86_64): Mach-O 64-bit object x86_64

CoreService (for architecture armv7): Mach-O object arm

CoreService (for architecture armv7s): Mach-O object arm

CoreService (for architecture arm64): Mach-O 64-bit object

用ida打開，發(fā)現(xiàn)樣本非常簡(jiǎn)單，只有少量函數(shù)。主要的功能就是先收集一些iPhone和app的基本信息，包括：時(shí)間，bundle id(包名)，應(yīng)用名稱，系統(tǒng)版本，語(yǔ)言，國(guó)家等。如圖所示：

隨后會(huì)把這些信息上傳到 init.icloud-analysis.com。如圖所示：

http://init.icloud-analysis.com并不是apple 的官方網(wǎng)站，而是病毒作者所申請(qǐng)的仿冒網(wǎng)站，用來(lái)收集數(shù)據(jù)信息的。

目前該網(wǎng)站的服務(wù)器已經(jīng)關(guān)閉，用whois查詢服務(wù)器信息也沒(méi)有太多可以挖掘的地方。這說(shuō)明病毒作者是個(gè)老手，并且非常小心，在代碼和服務(wù)器上都沒(méi)有留下什么痕跡，所以不排除以后還會(huì)繼續(xù)做作案的可能。

0x02 檢測(cè)方法

為了防止app被插入惡意庫(kù)文件，開發(fā)者除了檢測(cè)”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目錄下是否有可疑的framework文件之外，還應(yīng)該檢測(cè)一下Target->Build Setting->Search Paths->Framework Search Paths中的設(shè)置。看看是否有可疑的frameworks混雜其中：

另外因?yàn)樽罱黫OS dylib病毒也十分泛濫，為了防止開發(fā)者中招，支付寶的小伙伴還提供了一個(gè)防止被dylib hook的小技巧：在Build Settings中找到“Other Linker Flags”在其中加上”-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null”即可。

最后的建議是：以后下載XCode編譯器盡可能使用官方渠道，以免app被打包進(jìn)惡意的病毒庫(kù)。如果非要用非官方渠道，一定要在下載后校驗(yàn)一下哈希值。

0x03 思考&總結(jié)

雖然XCodeGhost并沒(méi)有非常嚴(yán)重的惡意行為，但是這種病毒傳播方式在iOS上還是首次。也許這只是病毒作者試試水而已，可能隨后還會(huì)有更大的動(dòng)作，請(qǐng)開發(fā)者務(wù)必要小心。這個(gè)病毒讓我想到了UNIX 之父 Ken Thompson 的圖靈獎(jiǎng)演講 “Reflections of Trusting Trust”。他曾經(jīng)假設(shè)可以實(shí)現(xiàn)了一個(gè)修改的 tcc，用它編譯 su login 能產(chǎn)生后門，用修改的tcc編譯“正版”的 tcc 代碼也能夠產(chǎn)生有著同樣后門的 tcc。也就是不論 bootstrap (用 tcc 編譯 tcc) 多少次，不論如何查看源碼都無(wú)法發(fā)現(xiàn)后門，真是細(xì)思恐極啊。

0x04 追加更新

1 很多開發(fā)者們擔(dān)心最近下載的Xcode 7也不安全。這里筆者沒(méi)有使用任何下載工具的情況在蘋果官網(wǎng)上下載了Xcode_7.dmg并計(jì)算了sha1的值。

http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg

$ shasum Xcode_7.dmg

4afc067e5fc9266413c157167a123c8cdfdfb15e Xcode_7.dmg

所以如果在非App Store下載的各位開發(fā)者們可以用shasum校驗(yàn)一下自己下載的Xcode 7是否是原版。

2 @FlowerCode同學(xué)通過(guò)分析流量發(fā)現(xiàn)病毒開發(fā)者的服務(wù)器是搭建在Amazon EC2的云上的。服務(wù)器已經(jīng)關(guān)閉。

3 根據(jù)palo alto networks公司爆料，被感染的知名App Store應(yīng)用為”網(wǎng)易云音樂(lè)”!該app應(yīng)用在AppStore上的最新版本2.8.3已經(jīng)確認(rèn)被感染。并且該應(yīng)用的Xcode編譯版本為 6.4(6E35b)，也就是XcodeGhost病毒所感染的那個(gè)版本。網(wǎng)易云音樂(lè)在AppStore上目前的狀態(tài)：