XcodeGhost - XcodeGhost

XcodeGhost (ve XcodeGhost S türü), kötü amaçlı yazılım olarak kabul edilen Apple'ın Xcode geliştirme ortamının değiştirilmiş sürümleridir . Yazılım ilk olarak Eylül 2015'te Çin'den gelen bir dizi uygulamanın kötü amaçlı kodu barındırmasıyla yaygın bir ilgi gördü. BBC'ye göre bunun "Apple'ın App Store'una yapılan ilk büyük ölçekli saldırı" olduğu düşünülüyordu. Sorunlar ilk olarak Çin'in önde gelen bir e-ticaret firması olan Alibaba'daki araştırmacılar tarafından tespit edildi . FireEye'a göre, Çin dışındaki yazarların uygulamaları da dahil olmak üzere, Apple tarafından başlangıçta kabul edilen 25'ten çok daha fazla uygulamaya 4000'den fazla uygulama bulaştı.

Güvenlik firması Palo Alto Networks , Çin'de ağ hızlarının daha yavaş olması nedeniyle, ülkedeki geliştiricilerin Apple Xcode geliştirme ortamının yerel kopyalarını aradıklarını ve yerel web sitelerinde yayınlanan değiştirilmiş sürümlerle karşılaştıklarını tahmin etti. Bu, kötü amaçlı yazılımın iOS cihazlarında kullanılan yüksek profilli uygulamalara eklenmesinin kapısını açtı.

İlk raporlardan iki ay sonra bile güvenlik firması FireEye, yüzlerce işletmenin hala virüslü uygulamaları kullandığını ve XcodeGhost'un "kalıcı bir güvenlik riski" olarak kaldığını bildirdi. Firma ayrıca kötü amaçlı yazılımın yeni bir çeşidini belirledi ve ona XcodeGhost S adını verdi; Enfekte olan uygulamalar arasında popüler mesajlaşma uygulaması WeChat ve bir Netease uygulaması Music 163 vardı .

Keşif

16 Eylül 2015'te, Çinli bir iOS geliştiricisi sosyal ağ Sina Weibo'da Xcode'daki bir kötü amaçlı yazılımın kendisiyle birlikte derlenen uygulamalara üçüncü taraf kodu enjekte ettiğinden bahsetti .

Alibaba araştırmacıları daha sonra kötü amaçlı yazılım hakkında ayrıntılı bilgi yayınladı ve buna XcodeGhost adını verdi.

17 Eylül 2015'te Palo Alto Networks , kötü amaçlı yazılım hakkında birkaç rapor yayınladı.

Operasyon

Yayılma

Çünkü yavaş indirme hızı Elma sunucularından, Çin iOS geliştiricileri gibi üçüncü taraf web sitelerinde, Xcode indirmek istiyorum Baidu Yun (şimdi Baidu WangPan denir), Baidu tarafından barındırılan bir bulut depolama hizmeti, veya iş gelen kopya olsun. Saldırganlar, bu tür dosya barındırma web sitelerinde güvenliği ihlal edilmiş sürümleri dağıtarak bu durumdan yararlandı.

Palo Alto Networks , kötü amaçlı yazılımın Mart 2015'te kullanıma sunulduğundan şüpheleniyor.

Saldırı vektörü

Kökenleri

Edward Snowden'dan sızdırılmış belge . "Strawhorse: MacOS ve iOS Yazılım Geliştirme Kitine Saldırmak ".

Saldırgan bir derleyici arka kapı saldırısı kullandı. Bu saldırının yeniliği, Xcode derleyicisinin değiştirilmesidir. Bununla birlikte, Edward Snowden tarafından sızdırılan belgelere göre , Sandia Ulusal Laboratuvarlarından CIA güvenlik araştırmacıları, "Apple'ın özel yazılım geliştirme aracı olan Xcode'un değiştirilmiş bir sürümünü yarattıklarını ve bu araç kullanılarak oluşturulan tüm uygulamalara veya programlara gizlice arka kapılara gözetim sokabileceklerini iddia ettiler. "

Değiştirilen dosyalar

XcodeGhost'un bilinen sürümleri, orijinal Xcode uygulamasına fazladan dosyalar ekler:

  • İOS, iOS simülatörü ve OS X platformlarında temel hizmet çerçevesi
  • İOS, iOS simülatörü ve OS X platformlarına eklenen IDEBundleInjection çerçevesi

XcodeGhost , kötü amaçlı dosyaları derlenen uygulamaya bağlamak için bağlayıcıyı da değiştirdi . Bu adım, derleme günlüğünde bildirilir ancak Xcode IDE'de bildirilmez .

Hem iOS hem de OS X uygulamaları XcodeGhost'a karşı savunmasızdır.

Dağıtım

XcodeGhost, uygulama tarafından kullanılan yüksek oranda kullanılan özellikler ve çerçeveler içeren CoreServices katmanını tehlikeye attı. Bir geliştirici, uygulamalarını tehlikeye atılmış bir Xcode sürümüyle derlediğinde, kötü amaçlı CoreServices, geliştiricinin bilgisi olmadan otomatik olarak uygulamaya entegre edilir.

Daha sonra kötü amaçlı dosyalar, UIWindow sınıfına ve UIDevice sınıfına fazladan kod ekleyecektir. UIWindow sınıfı, "bir uygulamanın cihaz ekranında görüntülediği görünümleri yöneten ve koordine eden bir nesnedir".

UIDevice sınıfı , geçerli cihazı temsil eden bir tekil örnek sağlar . Bu örnekten saldırgan, atanan ad, cihaz modeli ve işletim sistemi adı ve sürümü gibi cihaz hakkında bilgi edinebilir.

Virüs bulaşmış cihazlarda davranış

Uzaktan kontrol güvenlik riskleri

XcodeGhost, bir saldırgan tarafından bir Komut ve kontrol sunucusundan HTTP aracılığıyla gönderilen komutlarla uzaktan kontrol edilebilir . Bu veriler, ECB modunda DES algoritması kullanılarak şifrelenir . Bu şifreleme modunun zayıf olduğu bilinmekle kalmaz, şifreleme anahtarları da tersine mühendislik kullanılarak bulunabilir. Saldırgan , ortadaki bir adam saldırısı gerçekleştirebilir ve aygıta sahte HTTP trafiği iletebilir (örneğin bir iletişim kutusunu açmak veya belirli bir uygulamayı açmak için).

Kullanıcı cihaz bilgilerini çalmak

Virüs bulaşmış uygulama başlatıldığında, bir iPhone veya Xcode içindeki simülatör kullanılarak, XcodeGhost otomatik olarak aşağıdaki gibi cihaz bilgilerini toplayacaktır:

  • Şimdiki zaman
  • Mevcut virüslü uygulamanın adı
  • Uygulamanın paket tanımlayıcısı
  • Mevcut cihazın adı ve türü
  • Mevcut sistemin dili ve ülkesi
  • Mevcut cihazın UUID'si
  • Ağ tipi

Ardından kötü amaçlı yazılım bu verileri şifreleyecek ve bir komut ve kontrol sunucusuna gönderecektir . Sunucu, XcodeGhost'un sürümünden sürümüne farklılık gösterir; Palo Alto Networks üç sunucu URL'si bulmayı başardı:

  • http://init.crash-analytics.com
  • http://init.icloud-diagnostics.com
  • http://init.icloud-analysis.com

Son alan, iOS kötü amaçlı yazılım KeyRaider'da da kullanıldı .

Panodan okuyun ve yazın

XcodeGhost ayrıca, virüslü bir uygulama her başlatıldığında, iOS panosuna yazılan verileri depolayabilir. Kötü amaçlı yazılım da bu verileri değiştirebilir. Kullanıcı bir şifre yönetimi uygulaması kullanıyorsa bu özellikle tehlikeli olabilir.

Saldırı belirli URL'leri açma

XcodeGhost, virüslü uygulama başlatıldığında belirli URL'leri de açabilir. Apple iOS ve OS X, Inter-App Communication URL mekanizmasıyla çalıştığından (örneğin, 'whatsapp: //', 'Facebook: //', 'iTunes: //'), saldırgan, ele geçirilen telefonda yüklü herhangi bir uygulamayı açabilir veya bilgisayar, virüslü bir macOS uygulaması durumunda. Bu tür bir mekanizma, parola yönetimi uygulamalarında ve hatta kimlik avı web sitelerinde zararlı olabilir.

Uyarı iletişim kutusu

Mevcut bilinen sürümünde XcodeGhost, kullanıcı cihazında uyarı iletişim kutuları isteyemez. Ancak, yalnızca küçük değişiklikler gerektirir.

UIAlertViewStyleLoginAndPasswordInput özelliğiyle bir UIAlertView sınıfı kullanarak, virüslü uygulama normal bir Apple Kimliği kullanıcı kimlik bilgisi kontrolüne benzeyen sahte bir uyarı iletişim kutusu görüntüleyebilir ve girişi Komut ve kontrol sunucusuna gönderebilir.

Etkilenen uygulamalar

Tüm Çin uygulamaları arasında, anlık mesajlaşma uygulaması, bankacılık uygulamaları, mobil operatörün uygulaması, haritalar, hisse senedi alım satım uygulamaları, SNS uygulamaları ve oyunlara virüs bulaştı. Popüler tüm dünyada kullanılan apps de gibi enfekte edildi wechat , popüler anlık mesajlaşma uygulaması CamScanner , akıllı telefon Kamerayı kullanarak tarama belgeye bir uygulama WinZip .

Pangu Ekibi , 3.418 virüslü uygulama saydıklarını iddia etti.

Hollanda merkezli bir güvenlik şirketi olan Fox-it, Çin dışında binlerce kötü amaçlı trafik bulduklarını bildirdi.

Kaldırma

Komut ve kontrol sunucularını ve güvenliği ihlal edilmiş Xcode sürümlerini etkisiz hale getirme

Maddesinde yana Alibaba ve Palo Alto Networks , Amazon XcodeGhost tarafından kullanıldı tüm sunucuları indirdi. Baidu ayrıca tüm kötü niyetli Xcode yükleyicilerini bulut depolama hizmetinden kaldırdı.

Kötü amaçlı uygulamaları App Store'dan kaldırma

18 Eylül 2015'te Apple, kötü amaçlı yazılımın varlığını kabul etti ve güvenliği ihlal edilmiş uygulamaları olan tüm geliştiricilerden uygulamalarını yeniden incelemeye göndermeden önce temiz bir Xcode sürümüyle derlemelerini istemeye başladı.

Pangu Team , bir cihazdaki virüslü uygulamaları tespit etmek için bir araç yayınladı, ancak diğer antivirüs uygulamaları gibi, jailbreak yapılmamış bir cihazda çalışmayacak . Apple, antivirüs uygulamalarının iOS App Store'a girmesine izin vermez.

Xcode sürümünü kontrol etme

Apple, Xcode geliştiricilerine Xcode sürümlerini doğrulamalarını ve makinelerinde her zaman Gatekeeper'ı etkinleştirmelerini tavsiye eder.

Referanslar