事件跟踪:关于iOS平台木马WireLurker的分析
最近出现了一款名为 WireLurker的针对iPhone和Mac OSX平台的恶意软件。 也许大家对这个事情已经并不陌生,但刨根问底总是必要的, 现在让我们一起来看看细节吧。
这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker。网络安全公司Palo Alto发现了这一威胁,并发布了一份 详细的报告 。卡巴斯基将WireLurker使用的可疑文件以以下病毒名称予以拦截:
Mac OS X:
Trojan-Downloader.OSX.WireLurker.a Trojan-Downloader.OSX.WireLurker.b Trojan.OSX.WireLurker.a
苹果 iOS:
Trojan-Spy.IphoneOS.WireLurker.a Trojan-Spy.IphoneOS.WireLurker.b
Windows:
Trojan.Win32.Wirelurker.a
2014年7月,我们发现WireLurker恶意软件会连接到位于香港的C&C(远程命令和控制)服务器。在接下去的几个月中这些连接依然存在,只是连接数量始终很低。
初现江湖
有趣的是,今年早些时候某些论坛上已经有关于这个病毒的讨论了,尤其是在中文和韩文的论坛,在某些英文论坛中也有。
7月14日,有一位名为SirBlanton的用户在某中文论坛上提到了这个恶意软件:
这个帖子是发布在"bbs.maiyadi.com"这个论坛上的,非常有趣,"maiyadi.com"下另一个子域名被恶意软件用作了C&C服务器(见下文)。
5月29日,某个韩国论坛也提到了被此病毒感染后的一台Mac OS X的反常行为:
Mac OS X和苹果iOS并非能够传播病毒的所有平台。Alienvault公司的 Jaime Blasco发现了一个与之相关的Win32恶意程序。
WireLurker Windows组件
文件名: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14
如果时间戳没有被改动过,程序应该编译于2014年3月:
完整元数据集:
Machine Type : Intel 386 or later, and compatibles Time Stamp : 2014:03:13 03:56:21-04:00 PE Type : PE32 Linker Version : 10.0 Code Size : 721920 Initialized Data Size : 1364480 Uninitialized Data Size : 0 Entry Point : 0xafb86 OS Version : 5.1 Image Version : 0.0 Subsystem Version : 5.1 Subsystem : Windows GUI File Version Number : 1.0.0.1 Product Version Number : 1.0.0.1 File Flags Mask : 0x003f File Flags : (none) File OS : Windows NT 32-bit Object File Type : Executable application File Subtype : 0 Language Code : Chinese (Simplified) Character Set : Unicode File Description : 绿色IPA安装器 File Version : 1.0.0.1 Internal Name : 绿色IPA安装器.exe Original Filename : 绿色IPA安装器.exe Product Name : 绿色IPA安装器 Product Version : 1.0.0.1
文件的内部名称为" 绿色IPA安装器"。这应该是用来在iOS设备上安装IPA文件的程序。
程序中暴露了一条调试路径:
E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb
程序包含了两个IPA(Apple程序应用文件),一个叫做"AVPlayer",另一个叫做"apps"。
AVPlayer.app似乎是一个正规的iOS应用,被攻击者用来伪装。
这是程序的icon图标:
AVPlayer似乎是由一位"[email protected]"开发者开发的。
第二个IPA程序更加有趣:
程序似乎是于2014年3月创建。"apps"程序与臭名昭著的"comeinbaby[.]com"进行通信:
而sfbase.dylib与另一个C&C进行通信:
这个Win32程序的目的是应该就是为了确保Windows用户也会将恶意软件感染到iOS设备。
KSN检测到的情况
卡巴斯基安全网络(KSN)是卡巴斯基的用来收集、检测可疑程序的数据库。下图显示的是在OSX上检测到的WireLurker:
如图所示,超过6成的感染来自中国。
总结
这次事件又是一记警钟,提醒我们无论使用的是什么平台,使用盗版(非正规)软件依旧存在风险。从非官方来源下载应用程序,比如从别的应用市场,文件分享网站或者通过种子或其他P2P文件分享网络下载都会增加感染恶意软件的风险。
在Mac OS X设备中也应该要安装反病毒软件,不仅是Mac OS X设备可能被感染病毒,WireLurker的案例中,病毒能从你的Mac传播到你的iPhone。
作为第一道防线,Mac OS X用户们应该检查” 安全性与隐私”中的设置是安全的。建议开启Gatekeeper功能(”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App Store和被认可的开发者”,更加详细的信息 参见此)。
您亦可参考卡巴斯基对Mac安全的指导: 关于Mac安全的10条小贴士
更多信息:
C&C服务器:
app.maiyadi[.]com comeinbaby[.]com 61.147.80.73 124.248.245.78
MD5校验值:
3fa4e5fec53dfc9fc88ced651aa858c6 5b43df4fac4cac52412126a6c604853c 88025c70d8d9cd14c00a66d3f3e07a84 9037cf29ed485dae11e22955724a00e7 a3ce6c8166eec5ae8ea059a7d49b5669 aa6fe189baa355a65e6aafac1e765f41 bc3aa0142fb15ea65de7833d65a70e36 c4264b9607a68de8b9bbbe30436f5f28 c6d95a37ba39c0fa6688d12b4260ee7d c9841e34da270d94b35ae3f724160d5e dca13b4ff64bcd6876c13bbb4a22f450 e03402006332a6e17c36e569178d2097 fb4756b924c5943cdb73f5aec0cb7b14
[参考信息来源 Securelist,Sphinx翻译并有适量删改,转载请注明来自Freebuf.COM]