如果“網(wǎng)絡(luò)威脅”是一個幽靈的話，那么2014年，這個幽靈就一直在流竄。當(dāng)“心臟出血(Heartbleed)”和“破殼(Shellshock)”把我們的目光剛剛鎖定在類UNIX系統(tǒng)和開源領(lǐng)域時，沙蟲(SandWorm)漏洞又讓我們重回Windows戰(zhàn)場。而北京時間11月6日起，引發(fā)業(yè)內(nèi)關(guān)注的一個被稱為“WireLurker”新樣本通過Windows和Mac OS X系統(tǒng)實現(xiàn)對iOS系統(tǒng)的侵害。這個樣本的形態(tài)和特點，無疑值得關(guān)注和深入分析，鑒于此樣本影響的平臺非常廣泛，安天組成了由安天CERT(安天安全研究與應(yīng)急處理中心)和AVL TEAM(安天旗下獨立移動安全研究團隊)的聯(lián)合分析小組，但在我們同時研究了此次威脅的先發(fā)廠商Palo Alto Networks的大報告后，我們發(fā)現(xiàn)其已經(jīng)非常詳盡完備。在當(dāng)年Stuxnet、Flame的分析中，我們意識到與兄弟廠商之間進行馬拉松式的分析競賽，一方面會能提升分析深度和粒度，但同時也會造成業(yè)內(nèi)資源的冗余消耗，是一柄雙刃劍。因此我們決定減少此次分析兵力投入。以安天CERT和AVL Team的新分析員為主完成此次分析。雛鷹初飛，如有不足之處， 希望得到批評指正。也希望大家通讀Palo Alto Networks的報告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。獲得更系統(tǒng)全面的信息。

該惡意代碼被其發(fā)現(xiàn)者Palo Alto Networks命名為“WireLurker”，直譯其名為“連線潛伏者”。在我們討論中文命名時，考慮到WireLurker主要擁有如下傳播特點：通過第三方APP市場“麥芽地”(亦發(fā)現(xiàn)百度網(wǎng)盤的分享)進行下載傳播到iOS系統(tǒng);亦具有如下功能特點：在Windows平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng)、在Mac OS X平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng);最終對iOS系統(tǒng)相關(guān)文件進行竊取回傳。從相關(guān)WireLurker樣本所傳播的環(huán)境涉及到Windows、Mac OSX兩個桌面系統(tǒng)，涉及到一家第三方APP市場，并最終危害智能終端操作系統(tǒng)iOS的特點來看，跨越了多個系統(tǒng)平臺，利用相關(guān)同步接口，突破了各平臺間的邊界，所以安天經(jīng)過討論最終將WireLurker的中文命名定為“破界”。下圖是此惡意代碼的整體傳播與執(zhí)行的示意圖，或許能解釋我們將其中文名命名為“破界”的初衷。

“破界”惡意代碼在用戶iOS系統(tǒng)中主要惡意行為：獲取電話、短信、瀏覽器、移動儲存掛載、搜索、系統(tǒng)偏好等信息并通過POST上傳到服務(wù)器，其中通信錄和短信通過sqlite數(shù)據(jù)庫獲取，還會檢測更新樣惡意代碼版本。

因在安天進行分析時，Palo Alto Networks在其美國公司所在地時間11月5日發(fā)布針對蘋果OS X及iOS系統(tǒng)的惡意代碼新家族的分析大報告，并將其命名為“WireLurker”。按惡意代碼家族命名中的規(guī)律，以早發(fā)現(xiàn)反病毒廠商命名為準(zhǔn)，所以安天英文命名為：Trojan/iOS.WireLurker。

詳細(xì)報告請點擊：http://down.51cto.com/data/1898686