一個(gè)月之前，蘋果發(fā)布公告稱iOS設(shè)備被XcodeGhost惡意軟件感染，并迅速將受影響應(yīng)用下架并更新版本。

日前，F(xiàn)ireEye安全研究員通過(guò)持續(xù)監(jiān)控用戶網(wǎng)絡(luò)發(fā)現(xiàn)，XcodeGhost的影響并沒(méi)有停止，而是通過(guò)修改后保持了影響的持久性，該變種被稱為XcodeGhost S。

[[154967]]

XcodeGhost S的影響有以下幾點(diǎn)：

惡意軟件已經(jīng)感染美國(guó)企業(yè)，并存在持久的安全風(fēng)險(xiǎn)

部分僵尸網(wǎng)絡(luò)仍然活躍

可能存在尚未檢測(cè)到的其他變種

XcodeGhost影響統(tǒng)計(jì)

通過(guò)連續(xù)四周對(duì)XcodeGhost的監(jiān)控發(fā)現(xiàn)，有210家企業(yè)的網(wǎng)絡(luò)中運(yùn)行了XcodeGhost感染的應(yīng)用，共統(tǒng)計(jì)28,000次XcodeGhost Command and Control(C&C)服務(wù)器的連接嘗試，這表明影響范圍仍然很廣。

圖一 受XcodeGhost影響前五的國(guó)家

圖二 受XcodeGhost影響前五的行業(yè)

圖三 受XcodeGhost影響前20的應(yīng)用

盡管大部分廠商已經(jīng)更新了應(yīng)用商店中的應(yīng)用程序，仍然有很多用戶使用受感染的舊版本，這些版本分布在多個(gè)應(yīng)用程序中。

圖四 WeChat和網(wǎng)易云音樂(lè)受影響版本的使用情況

經(jīng)調(diào)查，70%的用戶使用的是iOS舊版本，為了避免持續(xù)感染，蘋果用戶應(yīng)該盡快升級(jí)到最新的iOS 9版本。

圖五 運(yùn)行受影響應(yīng)用的iOS版本分布

許多公司已經(jīng)采取措施，阻止企業(yè)網(wǎng)絡(luò)中的XcodeGhost DNS查詢，以切斷用戶手機(jī)和攻擊者的C&C服務(wù)器的連接，但是當(dāng)手機(jī)端的系統(tǒng)或應(yīng)用更新時(shí)，這些措施就失效了。

結(jié)合調(diào)查數(shù)據(jù)，我們可以肯定XcodeGhost事件的影響仍然持續(xù)。

XcodeGhost S影響iOS 9

根據(jù)對(duì)目前檢測(cè)到的XcodeGhost和XcodeGhost S樣本的研究，發(fā)現(xiàn)XcodeGhost S中已經(jīng)添加了感染iOS 9和繞過(guò)靜態(tài)檢測(cè)的功能。

iOS 9中引入了NSAppTransportSecurity方法提高客戶端和服務(wù)器端的連接安全。通常情況下，iOS 9中只允許安全的連接(即帶密碼的https)，因此使用http的XcodeGhost便不能再連接服務(wù)器了，在該層面上，iOS 9應(yīng)該是非常安全的。但是，關(guān)鍵就在于開(kāi)發(fā)者在Info.plist中使用NSAllowsArbitraryLoads方法添加了例外，允許http連接，XcodeGhost S就可以讀取并根據(jù)NSAllowsArbitraryLoads中的設(shè)置選擇不同的C&C服務(wù)器。另外，XcodeGhost S通過(guò)一種新穎的技術(shù)來(lái)掩蓋其C&C服務(wù)器，其代碼中不再使用硬編碼地址，而是轉(zhuǎn)而采用了按字符來(lái)組裝的URL。

目前，已檢測(cè)到一款名為“自由邦”的購(gòu)物軟件被感染，該軟件主要供旅行者使用，在美國(guó)和中國(guó)應(yīng)用商店中均可找到。

總結(jié)

XcodeGhost是目前蘋果面臨的重大危機(jī)，影響范圍廣，持續(xù)時(shí)間長(zhǎng)，應(yīng)該得到廣大用戶的充分重視。企業(yè)和組織應(yīng)該及時(shí)通知其員工XcodeGhost惡意軟件的危害，并及時(shí)更新和卸載。軟件開(kāi)發(fā)公司應(yīng)該及時(shí)檢測(cè)XcodeGhost及XcodeGhost變種，以防止更多的受感染的應(yīng)用流入市場(chǎng)。

參考鏈接：

https://www.virusbtn.com/virusbulletin/archive/2014/11/vb201411-Apple-without-shell

https://www.fireeye.com/blog/threat-research/2015/02/ios_masque_attackre.html

https://www.fireeye.com/blog/threat-research/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html

https://www.fireeye.com/blog/threat-research/2015/06/three_new_masqueatt.html