Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

安天实验室

首次发布时间:2015年09月20日22时00分
本版本更新时间:2015年09月30日08时41分



PDF报告下载

摘要

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。
2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,建立开发环境。经过被污染过的Xcode版本编译出的App程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。
本事件由腾讯相关安全团队发现,并上报国家互联网应急中心,国家互联网应急中心发出了公开预警,阿里安全研究员蒸米、Xundi根据分析将这一事件称为“XcodeGhost”,这一名称被其他机构和研究者所沿袭。PaloAlto Network、360、盘古、微步、i春秋等安全厂商和团队机构,对事件进行了大量跟进分析、普查和解读工作。有多个分析团队发现著名的游戏开发工具Unity 3D、Cocos 2d-x也被同一作者进行了地下供应链污染,因此会影响更多的操作系统平台。截止到本版本报告发布,尚未发现“XcodeGhost”组织对其他更多开发环境的影响,但安天分析小组基于JAVA代码和Native代码的开发特点,同样发出了相关风险预警。
截止到2015年9月20日,各方已经累计发现当前已确认共692种(如按版本号计算为858个)App曾受到污染,受影响的厂商中包括了微信、滴滴、网易云音乐等著名应用。

从确定性的行为来看,尽管有些人认为这一恶意代码窃取的信息“价值有限”,但从其感染面积、感染数量和可能带来的衍生风险来看,其可能是移动安全史上最为严重的恶意代码感染事件,目前来看唯有此前臭名昭著的Carrier IQ能与之比肩。但与Carrier IQ具有强力的“官方”推广方不同,这次事件是采用了非官方供应链(工具链)污染的方式,其反应出了我国互联网厂商研发“野蛮生长”,安全意识低下的现状。长期以来,业界从供应链角度对安全的全景审视并不足够,但供应链上的各个环节,都有可能影响到最终产品和最终使用场景的安全性。在这个维度上,开发工具、固件、外设等“非核心环节”的安全风险,并不低于操作系统,而利用其攻击的难度可能更低。因此仅关注供应链的基础和核心环节是不够的,而同时,我们必须高度面对现实,深刻分析长期困扰我国信息系统安全的地下供应链问题,并进行有效地综合治理。

1. 背景

Xcode 是由苹果公司开发的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最快捷的方式,其具有统一的用户界面设计,同时编码、测试、调试都在一个简单的窗口内完成。[1]
自2015年9月14日起,一例Xcode非官方供应链污染事件在国家互联网应急中心发布预警后,被广泛关注。攻击者通过对Xcode进行篡改,加入恶意模块,进行各种传播活动,使大量开发者获取到相关上述版本,建立开发环境,此时经过被污染过的Xcode版本编译出的App程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。
本事件由腾讯相关安全团队发现,并上报国家互联网应急中心,国家互联网应急中心发出了公开预警,阿里安全研究员蒸米、Xundi根据分析将这一事件称为“XcodeGhost”,这一名称被其他机构和研究者所沿袭。PaloAlto Network、360、盘古、微步、i春秋等安全厂商和团队机构,对事件进行了大量跟进分析、普查和解读工作。截止到2015年9月20日,各方已经累计发现共692种(如按版本号计算为858个)App确认受到感染。同时有多个分析团队发现著名的游戏开发工具Unity 3D、Cocos 2d-x也被同一作者进行了地下供应链污染,因此会影响更多的操作系统平台,但对上述两部分的感染影响目前还没有有效评价。综合现有分析,从其感染面积、感染数量和可能带来的衍生风险来看,这次事件可能是移动安全史上最为严重的恶意代码感染事件之一,从影响范围上来看能与之比肩的仅有此前臭名昭著的的Carrier IQ[2]。

鉴于此事态的严重性,安天安全研究与应急处理中心(Antiy CERT)与安天移动安全公司(AVL Team)组成联合分析小组,结合自身分析进展与兄弟安全团队的分析成果,形成此报告。

2. 作用机理与危害

安天根据Xcode非官方供应链污染事件的相关信息形成了图2-1,其整体污染路径为官方Xcode被攻击者植入恶意代码后,由攻击者上传到百度云网盘等网络位置,再通过论坛传播等方式广播下载地址,导致被App开发者获取,同时对于攻击者是否利用污染下载工具的离线下载资源通过用户下载中的加速重定向方式扩大散布,也有较多猜测。有多个互联网公司采用被污染过的Xcode开发编译出了被污染的App,并将其提交至苹果App Store,且通过了苹果的安全审核,在用户获取相关App进行安装使用后,相关 收到污染的应用回传信息至攻击者指定域名,并留下了弹窗钓鱼和远程控制入口。


图 2-1 Xcode非官方供应链污染事件示意图

2.1 作用机理

2.1.1 样本信息

  • 文件名:CoreService
  • 位于Xcode位置:(iOS、iOS模拟器、MacOSX三个平台)
    ./Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
    ./Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
    ./Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • 样本形态:库文件(iOS、iOS模拟器、MacOSX三个平台)

文件名

平台

要求系统版本

md5

上传域名

关键信息形式

读取剪贴板

弹框

openURL

文件平台结构

说明

CoreService

iOS/iOS模拟器

6.0

4fa1b08fd7331cd36a8fc3302e85e2bc

init.icloud-analysis.com

 

 

 

 

 

 

 

字符串

iOS模拟器与iOS平台使用同一库文件

CoreService库里面同时包含iOSARM版本和模拟器的X86版本。

7.0

40e4342b04a3cedcb4eaa01a1b68f40e

5e5425b47df510b0cacb9665db8aeed5

init.crash-analytics.com

init.icloud-diagnostics.com

字符

拼接

MacOSX

8a4be8036fa874a664d9299cf2b3ea74

6881744ee3ccd9e3f625b02141b55c20

5240c964c9efad9f2c6ed4ac9968cb7e

该部分文件实际无完整有效的恶意代码;

由于捕获受感染Xcode版本不全,不排除存在其他含有效代码版本;

即可能存在感染MacOSX应用的方式(未证实),至少此处代码能佐证攻击者具有潜在对MacOSX的攻击意图。

2.1.2 感染方式

2.1.2.1 攻击机理

这次攻击本质上是通过攻击Xcode间接攻击了自动化构建和编译环境,目前开发者不论是使用Xcode Server还是基于第三方工具或自研发工具都需要基于Xcode。而这次如此大面积的国内产品受到污染,则反映了大量APP产品研发团队在产品开发和构建环境的维护以及安全意识上都呈现出比较大的问题。


图 2-2基于Xcode的开发流程(第三方图片)[4]

1. 恶意插件植入Xcode方式

也许出于对Xcode稳定性和植入方便性的考虑,恶意代码作者没有对Xcode工具进行太多修改,主要是添加了如下文件:

  • 针对 iOS
  • Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework
  • 针对 iOS 模拟器
  • Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework
  • 针对 Mac OS X
  • Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework

以及修改了配置文件:

  • Xcode.app/Contents/PlugIns/Xcode3Core.ideplugin/Contents/SharedSupport/Developer/Library/Xcode/Plug-ins/CoreBuildTasks.xcplugin/Contents/Resources/Ld.xcspec
2. 恶意插件植入App方式
  • 被攻击的开发环节:编译App项目部分;
  • 恶意代码植入机理:通过修改Xcode配置文件,导致编译Linking时程序强制加载恶意库文件;
  • 修改的配置文件:Xcode.app/Contents/PlugIns/Xcode3Core.ideplugin/Contents/SharedSupport/Developer/Library/Xcode/Plug-ins/CoreBuildTasks.xcplugin/Contents/Resources/Ld.xcspec
  • 添加的语句:“-force_load $(PLATFORM_DEVELOPER_SDK_DIR)/Library/Frameworks/CoreServices.framework/CoreService”

图 2-3受感染Xcode与官方版本配置文件对比

2.1.2.2 恶意代码运行时间

  • 恶意代码植入位置:UIWindow (didFinishLaunchingWithOptions);
  • 恶意代码启动时间:App启动后,开启准备展示第一个页面时恶意代码已经执行了;
  • iOS应用启动流程:从代码执行流程来看,图2-4中每一步都可以作为恶意代码植入点,且其框架基本都是由模板自动生成,而UIWindow为iOS App启动后展示页面时执行。

图 2-4 iOS应用启动流程(第三方图片)[5]

  • UIWindow生成方式:

通常通过模板建立工程时,Xcode会自动生成一个Window,然后让它变成keyWindow并显示出来;由于是模板自动生成,所以很多时候开发人员都容易忽略这个UIWindow对象,这也是此次Xcode被植入恶意代码位置的原因之一。

  • 恶意代码启动时机分析:

恶意代码植入于UIWindow (didFinishLaunchingWithOptions)中,其入口点为: __UIWindow_didFinishLaunchingWithOptions__makeKeyAndVisible_;UIWindow是作为包含了其他所有View的一个容器,每一个程序里面都会有一个UIWindow;而didFinishLaunchingWithOptions里面的代码会在UIWindow启动时执行,即被感染App在启动时的开始准备展示界面就已经在执行被植入的恶意代码了。

图 2-5恶意插件植入的代码入口点

2.1.3 危害分析

2.1.3.1 上传隐私

恶意代码上传的信息主要有:时间戳、应用名、包名、系统版本、语言、国家、网络信息等;同时还有被感染App的运行状态:launch、runing、suspend、terminate、resignActive、AlertView。
所有信息通过DES加密后POST上传到服务器:

  • init.icloud-analysis.com
  • init.crash-analytics.com
  • init.icloud-diagnostics.com

上述域名可以配置为ACL名单进行拦截,或在IDS等设备中配置上述URL检测规则,可以对内网地址进行发现。腾讯玄武实验室最早提出了建议网友在路由器上配置相关域名规则进行检测[6]。

其中6.0版本URL为字符串形式,而到7.0版本URL则进化到字符拼接,7.0版本中还可以获取应用剪贴板信息。

图 2-6获取上传的信息


图 2-7 6.0版本中URL为字符串形式


图 2-8 7.0版本中URL字符拼接形式


图 2-9 7.0版本获取应用剪贴板信息

2.1.3.2 任意弹窗

恶意代码可以远程设置任意应用的弹窗信息,包括弹框标题、内容、推广应用ID、取消按钮、确认按钮;需要注意的是该部分代码并没有使用输入框控件,同时也并无进一步的数据回传代码,因此是不能直接高仿伪造系统弹窗,钓鱼获取Apple ID输入和密码输入的在部分已公开分析报告中,对此处行为的直接后果存在误判)。


图 2-10远程设置弹窗信息

但是由于弹窗内容可以任意设定,攻击者完全可以使用弹窗进行欺诈通知。

2.1.3.2 远控模块

  • 1. OpenURL远控
  • 恶意代码包含了一个使用OpenURL的远控模块,该模块可以用来执行从服务器获取到的URL scheme,其使用canOpenURL获取设备上定义的URL scheme信息,并从服务器获取URL scheme通过OpenURL执行。


    图 2-11 canOpenURL获取信息,执行从服务器获取的URL scheme

  • 2. URL scheme能力
  • URL scheme功能强大,通过OpenURL可用实现很多功能;但需要注意的是,URL scheme所能达到的功能与目标App权限有关,如拨打电话、发送短信需要被感染应用具有相应权限。但如果其他App或系统组件有URL scheme 解析漏洞、Webview漏洞等,则能相应执行更多行为。

    由于服务器已经关闭,同时该样本也没有明显证据表明具体使用了哪些URL scheme,以下为我们分析的恶意代码所能做到的行为:
    • 调用App
    • 拨打电话
    • 发送短信
    • 发送邮件
    • 获取剪贴板信息
    • 打开网页,如打开高仿Apple的钓鱼网站
    • 结合弹窗推广应用,App Store&企业证书应用皆可


    图 2-12设置推广应用appID和对应URL scheme

    另外推广应用时候,由于弹窗所有信息皆可远程设置,当把"取消"按钮显示为"安装","安装"按钮显示为"取消",极易误导用户安装推广的应用。

    2.1.4 中间人利用

    虽然恶意代码使用的域名已经被封,但由于其通信数据只是采用了DES简单加密,很容易被中间人重定向接管所有控制。当使用中间人攻击、DNS污染时,攻击者只需要将样本中服务器域名解析到自己的服务器,即可接管利用所有被感染设备,进而获取隐私、弹窗欺诈、远程控制等。
    其中恶意代码使用的DES密钥生成比较有趣,是先定义一个字符串”stringWithFormat“,再截取最大密钥长度,即前八个字符“stringWi”。

    DES标准密钥长度为56位,加上8个奇偶校验位,共64bit即8个字节。

    图 2-13 DES密钥生成方式

    所以即便恶意代码服务器已经失活,依然建议用户及时更新被感染App版本,若仍未更新版本的App,建议立即卸载或尽量不要在公共WiFi环境下使用,请等待新版本发布。

    2.2 影响面分析

    止到2015年9月22日凌晨3时,通过各安全厂商累计发现的数据显示,当前已确认共692种(按照版本号计算858个)App受到感染,其中影响较大的包括微信、高德地图、滴滴出行(打车)、58同城、豆瓣阅读、凯立德导航、平安证券、网易云音乐、优酷、天涯社区、百度音乐等应用的多个版本。关于感染数量统计,当前可能出现了根据App开发厂商数量、应用数量、小版本数量和HASH数量等不同统计方式,同时由于各家数据源有很大差异,以及是否考虑和覆盖了大量第三方(地下)市场、采用企业证书分发的应用等等,因此目前统计上差异较大。在感染APP种类数量统计中,盘古团队快速发布了一个检测工具(http://x.pangu.io/),对有效统计做出了较大贡献。


    注:需要说明的是,根据相关消息,这一事件是腾讯在自查中发现并上报给CNCERT的。

    安天依托国内一份2014年度iOS TOP 200排行的信息[3]进行了App检测,共发现有6款App受到影响,在表2-1中已用红色字体突出显示。

    表 2-2 App Store Top200中受影响App统计,红色为受到影响软件

    TOP 200排行

    1 微信

    2 百度

    3 淘宝

    4 QQ

    5 高德导航

    6 搜狗输入法

    7 百度视频

    8 滴滴打

    9 爱奇艺PPS影音

    10 易新闻

    … …

    21 我叫MTOnline

    22 优酷视频

    … …

    52 铃声大全

    53 百度音乐

    54 美团团购

    … …

    59 查违章

    60 爱奇艺视频

    61 限时免费大全

    … …

    101 芒果TV

    102 易云音乐

    103 今日头条

    … …

    200 冰川时代:村庄

    目前,有多个分析团队和个人示警著名手机游戏开发平台Unity 3D和Cocos 2d-x也被同一作者植入了恶意代码制作了地下版本,与攻击Xcode手法一样。相关分析团队和研究者多数是通过 Xcode污染代码的ID发布的其他内容进行分析检索发现上述问题,目前难以考证谁是最早的发现者。安天分析小组受精力所限,没有对相关手游平台被污染后关联影响到的软件跟进分析。

    目前来看,对采用企业证书分发政企应用的普查,依然是当前感知统计的盲点。而同时这些被污染的应用,可能在刷机店等通道中,继续存在。

    3 扩散、组织分析

    3.1 传播分析

    攻击者使用了多个账号,在多个不同网站或论坛进行传播被植入恶意代码的Xcode,以下是安天分析小组对其传播账号及传播信息的脑图化整理:

    图 3-1传播马甲关联分析图

    被植入恶意代码的Xcode由攻击者上传至百度云网盘,然后通过国内几个知名论坛发布传播,传播的论坛包括:51CTO技术论坛、威锋网论坛 、unity圣典、9ria论坛和swiftmi。安天分析小组通过跟踪发现其最早发布是在“unity圣典”,进行传播的时间为2015年3月16日,攻击者在每个论坛的ID及所发的百度云盘下载地址都不相同,详情参见表3-1。

    表 3-1传播论坛情况

    站点名称

    站点说明

    帖时间

    标题

    网址

    发帖ID

    威锋网

    国内知名iPhone社区

    2012-12-29 13:17

    最后编辑时间

    2015-6-15 09:41

    Xcode最全版本下载,Xcode7以及Xcode6全系列

    http://bbs.feng.com/read-htm-tid-5711821.html

    lmznet

    unity圣典

    Unity3D中文技术交流社区

    2015-03-16 11:49

    最后编辑时间

    2015-3-23 18:12

    最全Xcode版本网盘超快下载!!【求加精】

    http://game.ceeger.com/forum/read.php?tid=204961-1-1.html

    coderfun

    9ria论坛

    游戏开发者社区

    2015-03-24 16:55

    Xcode最全版本下载

    http://bbs.9ria.com/thread-43267

    linuxFans

    51CTO论坛(百度快照地址)

    中国领先的IT技术网站

    2015-04-09 18:56

    最后编辑时间

    2015-7-1 14:07

    Xcode 6 Xcode 7全系列,百度网盘下载地址

    http://bbs.51cto.com/thread-1149738-1.html

    jrl568

    威锋网

    国内知名iPhone社区

    2015-06-15 09:43

    Xcode最全版本下载,Xcode 7 以及Xcode 6 系列等

    http://bbs.feng.com/read-htm-tid-9581633.html

    coderfun

    图 3-2作者百度云网盘

    以威锋论坛传播为例,这个帖子本身是一个旧帖,首次发布于2012年,并在2015年6月15日进行最后编辑,作者用旧帖“占坑”的目的,是为了增加下载者对此帖信任度,如图3-3。

    图 3-3通过威锋网传播

    此外,微博上有网友说Xcode传播是通过迅雷下载重定向传播,会导致输入官方下载地址下载到错误版本,但后来同一网友又澄清是自己看错了导致,并删除了原帖。有关截图参见图3-4、图3-5:


    图 3-4 证明截图1微博发贴已删


    图 3-5证明截图2微博发贴已删

    2015年9月19日该网友澄清是自己记错了,误把百度云盘链接直接拷贝到迅雷下载地址里了,以下是网友的公开声明。

    图 3-6网友澄清证明

    鉴于上述信息的发布和撤回皆为个人主观行为,目前不能用以证明或否认迅雷存在相关的污染问题。但在地下社区中,确实一直存在针对迅雷污染,使迅雷下载到重定向恶意代码的方法讨论,而且由于类似感染可能获得巨大的经济利益,我们亦不能完全排除这种下载污染的存在,甚至有可能通过流量劫持等方式来配合。同时历史上亦有网友反馈迅雷存在直接下载和离线下载所得到的文件大小不同(甚至是所下载到的软件不同)的情况。受时间所限,安天分析小组未对这些传言进行进一步验证。百度安全实验室分析确认迅雷离线下载存在严重的可用于下载污染的漏洞。安天分析小组根据各方意见研判认为下载工具的重定向、离线下载等问题,虽然会明显改善下载体验和下载成功率,但确实存在严重的污染风险,需要得到重视和改善。

    3.2 攻击者情况猜测

    此前根据腾讯安全团队的信息检索,认为攻击者可能是X工业大学的一名学生。业内研讨认为攻击者具备污染了多个平台的实际动作,并已经在iOS用户中产生了严重实际影响,期开发能力覆盖前台、后台,掌握社工技巧,具备SEO优化的意识。从其综合能力来看,有可能不是个体作业,而是一个小的团伙、或者存在其他方式协同的可能性。同时,根据相对可信的消息,攻击者使用的域名对应的亚马逊云资源,每月有数千美元的账单支付,从其直接成本来看攻击者有较高的获益。
    但此前关于攻击者的亚马逊资费每月数十万美元的猜测,我们认为有误,因为亚马逊从计费上是单向收费的,而相关猜测的费用是双向计算的。
    根据未经公安部门证实网络新闻,传言Xcodeghost其中一名作者在青岛被捕。 [7]
    网络安全团队微步(Threatbook)采用情报关联的思路,对攻击者做了分析关联的尝试。[8]

    3.3 开发环节的安全问题分析

    导致大量原厂发布的App遭到污染的重要原因是,开发团队未坚持原厂下载,也并未验证所下载的开发工具的数字签名。
    我们发现有很多分析团队向开发者提供了完整的官方Xcode文件的Hash,但显然直接对应用进行数字签名验证可能是更高效、也更可靠的方法。

    3.3.1 Mac&iOS app签名方式

    OS X和iOS应用使用相同的签名方式,即:

    1. 在程序包中新建 _CodeSignature/CodeResources 文件,存储了被签名的程序包中所有文件的摘要信息;
    2. 使用私钥 Private Key 对摘要进行加密,完成代码签名。

    3.3.2 Mac上官方签名工具codesign验证App方式

    Mac上可以使用官方codesign工具对Mac&iOS App进行签名验证。
    codesign工具属于Xcode Command Line Tools套件之一,可以使用如下方式获取安装,推荐使用1、2方式:
    1.    Terminal里执行:Xcode-select –install;
    2.    Mac App Store里安装;
    3.    安装 brew 后执行 brew doctor 自动安装;
    4.    在Developer Apple网站下载安装:https://developer.apple.com/downloads/

    图 3-7 Developer Apple上的Command Line Tools工具


    3.3.2.1 获取app签名证书信息

    使用codesign -vv -d xxx.app 指令可以获取app的签名信息。
    如验证官方Xcode7.0,方框内Authority信息即该应用的证书信息,其中:

    • Authority=Apple Root CA,表示发布证书的CA机构,又称为证书授权中心;
    • Authority=Apple Worldwide Developer Relations Certification Authority,表示证书的颁发中心,为Apple的认证部门;
    Authority=Apple Mac OS Application Signing,表示证书所有者,即该应用属于Mac App Store签名发布。

    图 3-8官方Xcode7.0签名信息


    而验证含XcodeGhost恶意插件的Xcode6.4应用,其所有者为“Software Signing”,说明非Mac App Store官方渠道发布。

    图 3-9恶意Xcode签名信息

    3.3.2.2 验证app的合法性

    为了达到给所有文件设置签名的目的,签名的过程中会在程序包(即Example.app)中新建一个叫做 _CodeSignatue/CodeResources 的文件,这个文件中存储了被签名的程序包中所有文件的签名。
    使用codesign --verify xxx.app 指令可以根据_CodeSignatue/CodeResources文件验证App的合法性
    校验官方Xcode应用,验证通过,将没有任何提示。


    图 3-10官方Xcode签名校验合法

    校验含XcodeGhost恶意插件的Xcode应用,验证失败,会出现提示,说明该应用在签名之后被修改过。

    图 3-11恶意Xcode签名校验失败

    3.3.3 官方推荐Xcode验证工具spclt

     

    鉴于此事件影响重大,苹果官方于2015年9月22日发布文章[9]推荐使用spclt工具校验Xcode合法性。



    图 3-12官方推荐使用spctl工具校验Xcode合法性

    如图3-13,上面为正版Xcode验证信息,表明来源为Mac App Store;而下面为恶意Xcode工具验证信息,没有任何来源信息;

    图 3-13使用spctl工具校验Xcode来源

    关于此前Xcode在国内下载较慢的问题一直被诟病,其存在国内网络设施方面的问题,但苹果未投入足够CDN资源也是一个因素。我们注意到苹果在申明中提及会改善国内相关下载体验,但无论体验如何,原厂获取、本地可信分发建立与维护,都应该是开发者需要建立的规则。

    4. Android风险预警

    4.1 预警背景

    在XcodeGhost事件发生后,安天分析人员尝试进行了其他平台的非官方通道开发工具审查,但由于我们的资源获取能力等因素所限,尽管检查了大量包和镜像,却并未在其他开发平台发现更多问题。但正如兄弟团队发现Unity 3D被同样污染的问题一样,这并不意味着其他开发平台不存在其他问题。
    由于Android的官方开发环境在国内获取较为困难,使得部分开发者会选择从在线网盘等渠道下载离线更新包的方式来取代在线更新,因此我们将Android开发生产环境作为重点预警对象。

    目前Android下的开发生产环境如图4-1所示,其可以分成开发流程、自动化构建和发布三部分。

    图 4-1 安卓开发生产环境示意图

    通过分析,无论开发者是否使用IDE环境进行开发或者自动化构建,都会使用到Android SDK和Android NDK,并且默认官网下载的zip中只包含有SDK Manager,不同API版本的构建工具和lib库均需要开发者在线下载,并且在在线云盘中有大量的离线包分享。


    图 4-2通过搜索引擎可以看到在百度网盘资源中有多份Android开发工具包

    下文我们将分别说明JAVA代码和Native代码的开发生产环境面临的污染风险,为避免我们的分析被攻击者利用,分析小组对公开版本报告中的本部分做了大篇幅删减,相关论述是希望兄弟团队共同对污染的可能性进行排查,以降低风险。

    4.2 JAVA代码开发生产环境的风险


    在Android开发中,JAVA代码开发和编译主要由Android SDK提供,其中除了编译工具和Ant编译脚本外,还提供了系统jar库,用于版本兼容的support库,以及一些官方其他支持库。
    JAVA开发生产环境被污染的风险,可能存在如下情况:
    1. 污染代码在编译过程中被植入,或者随apk打包的jar库植入;
    2. 污染代码需要被主动调用,如在一个类被加载的时候去调用。
    Android SDK中最大的风险是jar库没有普遍采用签名验证机制,存在被篡改风险。

    图 4-3验证部分.jar的数字签名

    4.3 Native代码开发生产环境的风险


    同样,Native代码开发生产环境被污染的风险,可能存在如下情况:
    1. 污染代码跟随编译过程进入构建的模块, Native代码开发生产环境存在如下污染问题:
    1) 污染头文件被污染;
    2) ndk-build编译脚本被污染;
    3) crt运行的.o库被污染。
    2. 污染代码必须能够自动执行,污染代码可能被编译到.init_proc或者.init_array节;
    3. 存在某处主动调用静态库的extern方法。

    5 全景的安全视野才能减少盲点

    如果对这一事件进行定性,我们将其称之为一系列严重的“地下供应链”(工具链)污染事件,在当前移动互联网研发过度追求效率、安全意识低下的现状下,连锁形成了重大后果。从目前分析来看其污染源可能是地下黑产,并穿透了若干道应有的安全篱笆。同时值得深思的是,在今年3月份的时候斯诺登曝光的一份文档显示:美国情报机构曾考虑通过对Xcode(4.1)SDK进行污染,从而绕过苹果App Store的安全审查机制,最终将带毒App放到正规的苹果应用商店里,可见无论是针对地下黑产,还是情报获取,供应链和工具链都将是“兵家必争之地”。长期起来,国内安全的焦虑过多地集中围绕着CPU和操作系统等少数环节的自主化展开,但有其他几方面问题没有得到足够关注。

    1. 从供应链上看:供应链上的各个环节,都有可能影响到最终产品和最终使用场景的安全性。在这个维度上,开发工具、固件、外设等“非核心环节”的安全风险,并不低于操作系统,而利用其攻击的难度可能更低。因此仅关注供应链的基础和核心环节是不够的。而同时,在实际应用场景中,往往存在着因盗版、汉化、破解等问题带来的"地下供应链",以及下载重定向、第三方分发源等带来的不确定性,这些因素,在过去已经给信息系统制造了大量隐患。
    2. 从场景和时域关联上看:开发商、分销商、配送通道的安全性与使用场景的安全同样重要,因此只关注最终场景的安全是不够的。苹果在中国缺少足够的CDN资源投入,尽管因其产品的强势,让中国的开发者和用户都能容忍,但无疑也助动了地下工具链的成长。而国内的网络速度和效率问题,看似一个体验问题,但其最终也同样可以转化为安全问题。
    3. 从权限上看:在数据读取能力上,居于底层的操作系统和居于上层的应用程序可能是一致的,即使操作系统做出种种分层访问、沙箱隔离等限制,一旦受到污染程序进入系统,其攻击难度就瞬间从远程利用降低为提权,因此只关注操作系统的“底层”安全是不够的,追求系统数据安全和持续运维才是目的。而同时,在移动平台上,无论是安卓提供的安全产品与应用平权的策略,还是苹果彻底将反病毒产品逐出App Store的方法,最终都导致安全厂商难以给予其更多的支持、防护和协同。从而使这些互联网霸王龙陷于与寄生虫们不可能取胜的战争当中。
    4. 从信息链上看:互联网模式不是传统的信息流转,而是基于用户的方便性追求而进行的信息采集、聚合与分析,用户需要用主动提供信息来置换对应服务,因此,仅用传统的控制思维是不够的。而从这一恶意代码所表现出的信息采集和提交的特性来看,其似乎与常态的互联网客户端十分接近,这或许也是其未能被更早发现的原因。

    从被现行发现的Xcode到之后被关注到的Unity 3D和Cocos 2d-x,以及我们预警的安卓开发平台被污染的可能性,一系列非官方版本污染事件涉及到了上述每个问题的层面,其正是通过工具链污染绕过了多个开发厂商的自我安全审核,与号称非常严格的苹果应用商店的上架审核(也许对苹果来说,这个“多余”的模块就像一个新增的广告联盟的插件)。而一批开发者不坚持原厂获取开发工具,不审查工具的数字签名,这些都暴露了App开发领域的野蛮生长,忽视安全的现状。而这种被污染的App到达用户终端后,并不需要依赖获取更高权限,依然可以获取大量有价值的信息,但一旦与漏洞利用结合,就有可能形成巨大的威力。而同时,其也采用了与互联网客户端类似的信息采集聚合方式,而数据的聚合点,则位于境外的云服务平台上。从而使事件变成的多边、多角的复杂关系。
    对于苹果公司在此事中的表现,我们除了期待苹果在中国有更多的CDN投入来改善下载体验外,我们想引用我们的同事在2012年所写的两段文字:“作为一个选择全封闭、不兼容产业模式的商业帝国,苹果公司取得的巨大成就在于其对体验极致的追求和近乎完美的产业定位设计。但如果把第三方安全支撑能力完全摒弃在外,一个自身已经成为复杂巨系统的体系,怎么可能具备独善其身的能力呢”、 “对安全厂商高度排斥,如果不求变革,这些都将导致其陷入漫长的一个人的战斗。”
    这一问题再度提醒我们,要跳出单点迷思,从完整供应链、信息链角度,形成全景的安全视野、安全建模与评价、感知能力。同时,我们也要再度提醒,我们需要警惕“建立一个完全自闭合的供应链与自循环的信息链方能安全自保”的小农安全观的卷土重来,在互联网和社会生活场景下,这本身就不可能实现。而中国政企网络的市场空间,完全不足以保证一个健康的闭环供应链的有效生存,更谈不上还需要支撑这个闭环供应链安全性的持续改进。

    同时,我们也需要看到,网络地下黑产的泛滥与无孔不入,其不仅将危害网民的安全,也会带来更多纵深的安全风险,其让国家安全的防护边界变得模糊。因此在这一问题上投入更多的资源,进行更为强力、有效的综合治理,于国于民都非常必要。

    外一篇:我们的检讨

    我们一直在追求“一小时启动、同时打赢两场战争”的分析对抗能力,但针对这次XcodeGhost事件,一周的时间过去了,我们却未能及时交卷。尽管我们有分布在四个城市的传统、网络、移动、追溯的四个分析团队,但当在同一个领域的两个事件接踵到达时,我们出现了严重的指挥和衔接问题,我们的局部兵力和能力也暴露出了不足。但也许,这种密集到达的挑战正是安全威胁的常态。
    带着惭愧,分析小组还想多做一段检讨,安天作为追求先进检测能力的安全厂商,在重大恶意代码疫情发生时的沉默,就是一种没有充分履行社会责任的体现。当我们的研判组未能在第一时间把事件提升到A级响应,当安天安全研究与应急处理中心(Antiy CERT)的同事们想当然的认为移动安全公司的分析组(AVL Team)一定会响应此事,当AVL Team的分析组因跟进某事件分析,决定推迟分析启动48小时,却没有进行互通汇报…..这种防守失位就已经达成。我们突然联想到,传说中某国火箭在发射过程中的一个愚蠢的失败教训——因整流罩未能打开,卫星未能成功入轨,而原因是卫星方认为火箭方会下达这个指令,而火箭方认为卫星方会下达这个指令,最终两方都没有下达指令。而我们自己这次就是如此地愚蠢,这一切同样表明,对于安全厂商自身来说,一个全面、贯通的决策链和能力链多么重要。
    而我们在报告中编写中遇到的另一问题,也值得我们自己警醒和反思。本报告昨晚被安天总工办叫停的一个原因,是因为Android风险预警一节写得过于详细,且完全是站在攻方视角的审视。为此,分析小组的同事们再次受到如下团队基本立场的教育:以保障用户价值为最终目的;以形成工程能力为基本方法;具备推导攻方手段的逆向思维;坚持改善防御水平的正义立场。
    同时值得欣慰的是针对本次事件,从官方应急机构的提前预警,到多个厂商的接力分析,网络安全界展示了集体的力量,在此安天分析团队向最早发现事件、并做了大量分析的腾讯安全团队、向本次最早发出公开预警的国家互联网应急中心、向本次在大洋彼岸最先做出细腻分析工作的、我们曾经的同事ClaudXiao、向及时跟进做出大量分析、应急和解读工作的360、阿里安全、盘古、百度等团队表示敬意。

    最后,还是要做个广告,在AV-C移动安全下半年的测试中,安天移动安全团队(AVL Team)出品的AVL SDK for Android引擎,再次获得100%恶意代码检出率,从而成为唯一一款在上下半年的测试中均取得100%检出率的安全产品。我们想用这一成绩告诉我们的用户,以及使用我们引擎的合作伙伴用户——我们有能力保护你们!

     

     


    附录一:参考资料

    [1] 维基百科:Xcode
    https://en.wikipedia.org/wiki/Xcode
    [2] 安天:A Comprehensive Analysis on Carrier IQ(对Carrier IQ木马的综合分析报告)
    http://www.antiy.net/media/reports/carrieriq_analysis.pdf
    [3] Raincent:2014年中国App TOP500排行榜(iOS版)
    http://www.raincent.com/content-11-3251-1.html
    [4] Apple:About Continuous Integration in Xcode
    https://developer.apple.com/library/ios/documentation/IDEs/Conceptual/Xcode_guide-continuous_integration/
    [5] Ole Begemann:Revisiting the App Launch Sequence on iOS
    http://oleb.net/blog/2012/02/app-launch-sequence-ios-revisited/
    [6] Apple:Validating Your Version of Xcode
    https://developer.apple.com/news/?id=09222015a
    [7] 前瞻科技:XcodeGhost病毒制造者身份曝光一名嫌疑人已被青岛网警控制
    http://t.qianzhan.com/int/detail/150925-c6787ac8.html
    [8] 微步在线 (Threatbook):疑点披露:Xcodeghost威胁情报
    http://weibo.com/5693239566/CBqRLw3mR?type=repost
    [9] Apple:Validating Your Version of Xcode
    https://developer.apple.com/news/?id=09222015a

    其他更多参考资料,请见附录二。

    附录二:事件时间链与相关链接

    因安全厂商与机构较多,我们在正文中未一一指出各兄弟厂商贡献,不再一一叙述,根据各家的可以检索公开信息我们做出如下总结。红色字XcodeGhost攻击者的论坛传播事件和疑似的自我辩解行为蓝色字为发布分析报告和Xcode事件跟踪。

    注:第一条内容是作者2012年发的帖,而最后更新编辑时间在2015615日。

    1事件时间链与相关链接

    帖时间

    厂商与机构

    行动

    链接

    2012-12-29 13:17:07

    (最后编辑2015-6-15

    威锋网

    Xcode最全版本下载,Xcode7以及Xcode6全系列

    http://bbs.feng.com/read-htm-tid-5711821.html

    2015-03-16 11:49

    unity圣典

    最全Xcode版本网盘超快下载!!【求加精】

    http://game.ceeger.com/forum/read.php?tid=20496

    2015-3-24 16:55:59

    9ria论坛

    Xcode最全版本下载

    http://bbs.9ria.com/thread-432671-1-1.html

    2015-4-9 18:56

    51CTO论坛(百度快照地址)

    Xcode 6 Xcode 7全系列,百度网盘下载地址

    http://bbs.51cto.com/thread-1149738-1.html

    2015-6-15 09:43:06

    威锋网

    Xcode最全版本下载,Xcode 7 以及Xcode 6 系列等

    http://bbs.feng.com/read-htm-tid-9581633.html

           

    2015-09-14

    CNCERT/CC

    关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报

    http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html

    2015-09-17 16:00

    PaloAlto Networks

    Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store

    http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-Xcodeghost-modifies-Xcode-infects-apple-ios-apps-and-hits-app-store/

    2015-09-17 17:43

    乌云

    Xcode编译器里有鬼XcodeGhost样本分析

    http://drops.wooyun.org/news/8864

    2015-09-18 11::05

    PaloAlto Networks

    Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users

    http://researchcenter.paloaltonetworks.com/2015/09/malware-Xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/

    2015-09-18 13:45

    PaloAlto Networks

    Update: XcodeGhost Attacker Can Phish Passwords and Open URLs through Infected Apps

    http://researchcenter.paloaltonetworks.com/2015/09/update-Xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps/

    2015-09-18 17:01:01

    360

    已知有后门的iOS App

    http://bobao.360.cn/news/detail/2088.html

    2015-09-18 21:32:35

    360

    Xcode木马样本分析及被挂马的红包插件

    http://bobao.360.cn/learning/detail/673.html

    2015-09-19

    凌晨3点左右

    XcodeGhost-Author

    "XcodeGhost" Source 关于所谓XcodeGhost的澄清

     

    https://github.com/XcodeGhostSource/XcodeGhost

    2015-09-19 04:40

    XcodeGhost-Author作者微博

    作者声明

    http://weibo.com/u/5704632164?from=feed&loc=nickname#_rnd1442660752121

    2015-09-19 05:43

    看雪gjden

    发一个批量检测Xcode ghost病毒的检测工具

     

    http://bbs.pediy.com/showthread.php?p=1393015#post1393015

    2015-09-19 10:22:45

    T00ls

    T00ls首发被植入XcodeGhost病毒的国内IOS应用列表清单,各厂商请对号入座

     

    https://www.t00ls.net/articles-31417.html

    2015-09-19

    合天网安实验室

    合天网安实验室重磅打造,手把手教你排查App是否中招XCODE

    http://hetianlab.com/html/news/news-2015091804.html?from=groupmessage&isappinstalled=0

    2015-09-19 11:42之前

    腾讯安全响应中心

    你以为这就是全部了?我们来告诉你完整的XcodeGhost事件

    http://security.tencent.com/index.php/blog/msg/96

    2015/09/19

    12:56

    阿里移动安全

    XcodeGhost事件全程回顾,阿里移动安全蒸米重磅分析(与乌云上的报告基本为同一篇,出自同一人)

    http://weibo.com/p/1001603888770540788221?from=page_100606_profile&wvr=6&mod=wenzhangmod

    2015/09/19

    14:58

    腾讯玄武实验室

    用家用路由器检查 iPhone 是否感染了 XcodeGhost

    http://weibo.com/p/1001603888801121448415

    2015/09/19

    盘古团队

    Xcode毒病检测工具

    http://x.pangu.io/?from=timeline&isappinstalled=0

    2015/09/19

    i春秋

    苹果用户注意啦!XcodeX 亿用户中毒,你中招了吗?

    http://www.ichunqiu.com/Xcode

    2015-09-18

    TechWeb报道

    网易云音乐、高德地图等多款软件感染病毒!

    http://mp.weixin.qq.com/s?__biz=MTE3MzE4MTAyMQ==&mid=210330539&idx=1&sn=40db9653371845fa2fcdbad5806ddc33&scene=1&srcid=0918OFZPuhb3QhqKmbRpNBRb&key=dffc561732c22651cb2b4d8a7e0c5df4d42df2a59ada0c1bc23f96fc5a5c8acd86e5accb90e398e23eedbbb4d2d9b090&ascene=1&uin=MjAwMDQ2OTYwMQ%3D%3D&devicetype=Windows+7&version=6102002a&pass_ticket=S4V5W30ay2oTxNEvPkTn4nTMlwYH4mu2YJKG7RIcZ2Jwx0n3wV0arxKtEFDmW2P0

    2015-09-19

    夏子钦 安在

    图说安全 | 一张图揭秘Xcode鬼魅事件!

     

    http://mp.weixin.qq.com/s?__biz=MzIzMTAzNzUxMQ==&mid=212034739&idx=2&sn=2c6e0b1e3bb199448a6790ef209c4ef9&scene=1&srcid=09197iOZdsrLw7QrieE1PEXY&key=dffc561732c226518369c86b0eb0f45355644dca2ff7e3c660d918beaf922bba0820cfdc54516efdcde55d6a2975d1c6&ascene=1&uin=MjAwMDQ2OTYwMQ%3D%3D&devicetype=Windows+7&version=6102002a&pass_ticket=S4V5W30ay2oTxNEvPkTn4nTMlwYH4mu2YJKG7RIcZ2Jwx0n3wV0arxKtEFDmW2P0

    2015-09-19

    网康科技

    网康慧眼云发现企业网络中的XcodeGhost失陷手机

     

    http://mp.weixin.qq.com/s?__biz=MjM5Njc1NTg0MQ==&mid=211338424&idx=1&sn=67c421725ece560a97a311c0c1ec6ece&scene=1&srcid=09197zYhkHR5GvEYgmtvgrJ6&key=dffc561732c22651a81590de6d9c0994323e413124efc729fa5afea614e65160fd1cd77708a2ba48b9f472c231d41250&ascene=1&uin=MjAwMDQ2OTYwMQ%3D%3D&devicetype=Windows+7&version=6102002a&pass_ticket=S4V5W30ay2oTxNEvPkTn4nTMlwYH4mu2YJKG7RIcZ2Jwx0n3wV0arxKtEFDmW2P0

    2015-09-19

    qz安全情报分析

    黎明破晓后是电闪雷鸣-XcodeGhost事件之谜

    http://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=208927787&idx=1&sn=12d321cfb2ed4d07c88584bf66ac3e5d&scene=1&srcid=0919g1DL5T6ynxlibB3EdsFv&key=dffc561732c22651feaa76ab8b59197c5a76fba97cd55f053505fb04adde4eefcee22c4e3396d9e140411732a5eff27e&ascene=1&uin=MjAwMDQ2OTYwMQ%3D%3D&devicetype=Windows+7&version=6102002a&pass_ticket=S4V5W30ay2oTxNEvPkTn4nTMlwYH4mu2YJKG7RIcZ2Jwx0n3wV0arxKtEFDmW2P0

    2015-09-19

    云头条

    XcodeGhost作者凌晨现身微博并公开源码 称只是实验项目

    http://mp.weixin.qq.com/s?__biz=MjM5MzM3NjM4MA==&mid=215556574&idx=1&sn=14a1c7c68e3b278dad22d8bae7105a80&scene=1&srcid=09194hEWh5Dd6F2ny9EfIhap&key=dffc561732c22651464970f6eedaf06225f792f566fedeef5d54f23c1c6a0af45898aa851629a6a08aadf3747bd76d55&ascene=1&uin=MjAwMDQ2OTYwMQ%3D%3D&devicetype=Windows+7&version=6102002a&pass_ticket=S4V5W30ay2oTxNEvPkTn4nTMlwYH4mu2YJKG7RIcZ2Jwx0n3wV0arxKtEFDmW2P0

    2015-09-20 18:19

    微步

    疑点披露:XcodeGhost威胁情报

    http://weibo.com/p/1001603889214088418627

    2015-09-20

    阿里云

    XcodeGhost事件全程回顾,阿里移动安全蒸米重磅分析

    http://mp.weixin.qq.com/s?__biz=MzA4NjI4MzM4MQ==&mid=235501486&idx=1&sn=811874eb322a02c606e3d0a625e8e2c1&scene=1&srcid=0920bSJYbJHsY9hDs2FasIle&key=dffc561732c22651e47f236cb783f7b318a1ce4a8e9f0dc6f0a17439ce793757549b6c8c60d05dfc7cbf03332d6816d7&ascene=1&uin=MTM1OTY1NTk1&devicetype=Windows+8&version=61020020&pass_ticket=z4fmOyjoM3YjXrZo8uviagOUJ0ljb%2BgKrSP0YQw1fso%3D

    2015-09-20 22:00

    安天

    Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

    http://www.antiy.com/response/Xcodeghost.html

    2015-09-21 09:37:00

    百度

    百度安全:XcodeGhost大爆发可能只是冰山一角

    http://m.chinabyte.com/sec/187/13555687_m.shtml?from=groupmessage&isappinstalled=0

    2015-09-21

    360

    XcodeGhost:信息分享及企业防护建议

    http://mp.weixin.qq.com/s?__biz=MjM5MzgxMTgwOA==&mid=226376420&idx=1&sn=84259fed2eff8fc2ba83bcd22e740aa6&scene=1&srcid=0921hniM9vZ3JYxx1OMYr3Pv&key=dffc561732c2265174569f4d1ac7092f6f556e4b5cbc435476f6700c0d8075612994ed855e1d4c63716ed43484621bc8&ascene=1&uin=MTM1OTY1NTk1&devicetype=Windows+8&version=61020020&pass_ticket=z4fmOyjoM3YjXrZo8uviagOUJ0ljb%2BgKrSP0YQw1fso%3D

    2015-09-21 12:16

    界面

    苹果正式回应XcodeGhost木马事件

    http://m.jiemian.com/article/385811.html

    2015-09-21 14:47

    迅雷

    雷公布XcodeGhost污染源链接列表

    http://weibo.com/p/1001603889523175065085

    2015-09-21

    看雪

    XcodeGhost详细技术分析及内幕爆料

    http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=207517750&idx=1&sn=d8b0da9ab557a3fffd366128268e1f9d&scene=1&srcid=0921yOOHPRm7XYy4MgckSWm8&key=2877d24f51fa5384e50e21c0156031a53383015731016001fdcf8573e1491ac270e01d7516d1fd54e9a3b6b9cfbd6ffd&ascene=1&uin=MTM1OTY1NTk1&devicetype=Windows+8&version=61020020&pass_ticket=z4fmOyjoM3YjXrZo8uviagOUJ0ljb%2BgKrSP0YQw1fso%3D

    2015-09-21 2:30 PM

    PaloAlto

    More Details on the XcodeGhost Malware and Affected iOS Apps

    http://researchcenter.paloaltonetworks.com/2015/09/more-details-on-the-Xcodeghost-malware-and-affected-ios-apps/

    2015-09-22 00:15:14

    pconline

    XcodeGhost探秘:苹果栽在了源码病毒手里

    http://mobile.pconline.com.cn/697/6974076.html

    2015-09-22 3:01

    乌云

    你以为服务器关了这事就结束了? - XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警

    http://drops.wooyun.org/papers/9024

    附录三:报告版本演进、封版说明

    时间

    版本

    更新内容

    20150918 1209

    V0.5

    AVL团队完成编写小报告《XcodeGhost分析》

    20150920 2217

    V1.0

    建立文档框架完成主要章节,对整个事件进行梳理分析,画出Xcode非官方供应链污染事件示意图,此版本报告报送了各管理部门。

    20150921 1929

    V1.1

    完善了作用机理中样本相关分析,增加了开发环节的安全问题部分。

    20150922 1647

    V1.3

    增加了Android风险预警,未能通过上站审核。

    20150923 1530

    V1.4

    增加了传播脑图,删减了Android风险预警,增加了外一篇:我们的检讨

    201509241651

    V1.41

    对事件命名等业内同仁反馈的报告问题进行了修补,改为数字版本号。

    201509272213

    V1.42

    经讨论后对报告进行微调,并修正传播示意图。

    201509281300

    V1.43

    补充“附录二”的时间链,报告中查证了部分研究成果原始发现者贡献。

    201509300841

    V1.45

    传播示意图再次修正,报告终校。

    说明:鉴于此事件演进已经基本尘埃落定,本报告在2015年9月30日做了最后一次维护后封版,此后不再做更新。

    附录四:关于安天


    安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

    关于安天反病毒引擎更多信息请访问:

    http://www.antiy.com(中文)
    http://www.antiy.net (英文)

    关于安天反APT相关产品更多信息请访问:

    http://www.antiy.cn


     

     

    微信扫描关注 安天