事件跟踪:关于iOS平台木马WireLurker的分析

标签: 专题 系统安全 终端安全 | 发表时间:2014-11-10 08:35 | 作者:Sphinx
出处:http://www.freebuf.com

‍‍ 最近出现了一款名为 WireLurker的针对iPhone和Mac OSX平台的恶意软件‍。‍ 也许大家对这个事情已经并不陌生,但刨根问底总是必要的, 现在让我们一起来看看细节吧。‍‍

这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker。网络安全公司Palo Alto发现了这一威胁,并发布了一份 详细的报告 。卡巴斯基将WireLurker使用的可疑文件以以下病毒名称予以拦截:

Mac OS X:

Trojan-Downloader.OSX.WireLurker.a
Trojan-Downloader.OSX.WireLurker.b
Trojan.OSX.WireLurker.a

苹果 iOS:

Trojan-Spy.IphoneOS.WireLurker.a
Trojan-Spy.IphoneOS.WireLurker.b

Windows:

Trojan.Win32.Wirelurker.a

2014年7月,我们发现WireLurker恶意软件会连接到位于香港的C&C(远程命令和控制)服务器。在接下去的几个月中这些连接依然存在,只是连接数量始终很低。

初现江湖

有趣的是,今年早些时候某些论坛上已经有关于这个病毒的讨论了,尤其是在中文和韩文的论坛,在某些英文论坛中也有。

7月14日,有一位名为SirBlanton的用户在某中文论坛上提到了这个恶意软件:

这个帖子是发布在"bbs.maiyadi.com"这个论坛上的,非常有趣,"maiyadi.com"下另一个子域名被恶意软件用作了C&C服务器(见下文)。

5月29日,某个韩国论坛也提到了被此病毒感染后的一台Mac OS X的反常行为:

Mac OS X和苹果iOS并非能够传播病毒的所有平台。Alienvault公司的 Jaime Blasco发现了一个与之相关的Win32恶意程序。

WireLurker Windows组件

文件名: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

如果时间戳没有被改动过,程序应该编译于2014年3月:

完整元数据集:

Machine Type                    : Intel 386 or later, and compatibles
Time Stamp                      : 2014:03:13 03:56:21-04:00
PE Type                         : PE32
Linker Version                  : 10.0
Code Size                       : 721920
Initialized Data Size           : 1364480
Uninitialized Data Size         : 0
Entry Point                     : 0xafb86
OS Version                      : 5.1
Image Version                   : 0.0
Subsystem Version               : 5.1
Subsystem                       : Windows GUI
File Version Number             : 1.0.0.1
Product Version Number          : 1.0.0.1
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : Chinese (Simplified)
Character Set                   : Unicode
File Description                : 绿色IPA安装器
File Version                    : 1.0.0.1
Internal Name                   : 绿色IPA安装器.exe
Original Filename               : 绿色IPA安装器.exe
Product Name                    : 绿色IPA安装器
Product Version                 : 1.0.0.1

文件的内部名称为" 绿色IPA安装器"。这应该是用来在iOS设备上安装IPA文件的程序。

程序中暴露了一条调试路径:

E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb

程序包含了两个IPA(Apple程序应用文件),一个叫做"AVPlayer",另一个叫做"apps"。
AVPlayer.app似乎是一个正规的iOS应用,被攻击者用来伪装。

这是程序的icon图标:

AVPlayer似乎是由一位"[email protected]"开发者开发的。

第二个IPA程序更加有趣:

程序似乎是于2014年3月创建。"apps"程序与臭名昭著的"comeinbaby[.]com"进行通信:

而sfbase.dylib与另一个C&C进行通信:

这个Win32程序的目的是应该就是为了确保Windows用户也会将恶意软件感染到iOS设备。

KSN检测到的情况

卡巴斯基安全网络(KSN)是卡巴斯基的用来收集、检测可疑程序的数据库。下图显示的是在OSX上检测到的WireLurker:

如图所示,超过6成的感染来自中国。

总结

这次事件又是一记警钟,提醒我们无论使用的是什么平台,使用盗版(非正规)软件依旧存在风险。从非官方来源下载应用程序,比如从别的应用市场,文件分享网站或者通过种子或其他P2P文件分享网络下载都会增加感染恶意软件的风险。

在Mac OS X设备中也应该要安装反病毒软件,不仅是Mac OS X设备可能被感染病毒,WireLurker的案例中,病毒能从你的Mac传播到你的iPhone。

作为第一道防线,Mac OS X用户们应该检查” 安全性与隐私”中的设置是安全的。建议开启Gatekeeper功能(”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App Store和被认可的开发者”,更加详细的信息 参见此)。

您亦可参考卡巴斯基对Mac安全的指导: 关于Mac安全的10条小贴士

更多信息:

C&C服务器:

app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5校验值:

3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14

[参考信息来源 Securelist,Sphinx翻译并有适量删改,转载请注明来自Freebuf.COM]

相关 [事件 跟踪 ios] 推荐:

事件跟踪:关于iOS平台木马WireLurker的分析

- - FreeBuf.COM
‍‍ 最近出现了一款名为. WireLurker的针对iPhone和Mac OSX平台的恶意软件‍‍. ‍ ‍也许大家对这个事情已经并不陌生,但刨根问底总是必要的, 现在让我们一起来看看细节吧. 这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker. 网络安全公司Palo Alto发现了这一威胁,并发布了一份.

GA小技巧:使用jQuery来方便的布置事件跟踪代码

- - 标点符
Google Analytics的事件跟踪是个神器,基本上你能想到什么他就能帮你做什么. 但是按照Google Analytics的帮助文章中方法去布置可能会让你觉得麻烦. 以下为我使用的小技巧分享给大家. 如果你需要跟踪某几个链接在页面上的点击数. 事先给需要记录的点击链接上添加一个类. 跟踪地址.

[IOS]iOS App性能优化

- - 操作系统 - ITeye博客
iOS App的性能关注点. 虽然iPhone的机能越来越好,但是app的功能也越来越复杂,性能从来都是移动开发的核心关注点之一. 我们说一个app性能好,不是简单指感觉运行速度快,而应该是指应用启动快速、UI反馈响应及时、列表滚动操作流畅、内存使用合理,当然更不能随随便便Crash啦. 工程师开发应用时除了在设计上要避免性能“坑”的出现,在实际遇到“坑”时也要能很快定位原因所在.

Servlet – 会话跟踪

- - ImportNew
HTTP本身是 “无状态”协议,它不保存连接交互信息,一次响应完成之后即连接断开,下一次请求需要重新建立连接,服务器不记录上次连接的内容.因此如果判断两次连接是否是同一用户, 就需要使用 会话跟踪技术来解决.常见的会话跟踪技术有如下几种:. URL重写: 在URL结尾附加. 会话ID标识,服务器通过会话ID识别不同用户..

iOS 5评测

- littlepush - Solidot
Ars Technica的评测认为iOS 5值得升级,当然它也不可避免的存在一些小问题,给用户增添些烦恼. 用户在升级前最好手动备份一下iDevice,确保所有的应用都能转移.

关于iOS 7

- - 曉生
上手使用2天,感觉ios7的方向挺对,有设计的不错的地方,比如系统功能交互的完善和动效细节. 但界面有不够完善之处,比如颜色不够统一,难以理解相机和设置为什么用那么难看的渐变灰色,控制中心太像交互原型图,更主要是功能缺乏分类,但相信这只是beta版的问题,就像ios7运行还不够流畅一样,都还需要时间去完善.

[转]WebKit in iOS 8

- - justinjing的专栏
让我们说说iOS 8 的WebKit吧. WWDC 2014前几天,就有人发现了苹果向WebKit开源项目提交了一些很令人兴奋的代码,暗示了OS X和iOS,特别是iOS上的WebKit架构有所变化. 果不其然,WWDC上公布了iOS的新框架WebKit.framework,正式推出了新的网页浏览控件WKWebView.

Adobe Reader for iOS发布

- laguna - Solidot
tbw 写道 "Adobe也许在计算机桌面的PDF市场占统治地位,但是,Adobe基本上把iPhone和iPad等移动设备的PDF市场留给了竞争对手,如GoodReader和苹果的iBooks. Adobe在公司博客中宣布,它已推出iPhone和iPad通用的“Adobe Reader for iOS”软件.

iOS开发资源

- - Starming星光社最新更新
iOS App UI 欣赏、分享精美的App界面设计. iOS代码实例搜索、iOS特效示例、iOS代码例子下载. 以web的形式提供iOS UI设计的素材,你可以在web上拖动一些控件做出简单的ios 应用效果,并且生成一个URL,能分享给其他人. 一款 Photoshop 插件,由 UI Parade 推出的一款针对iOS UI 的设计工具,设计师动动鼠标即可制作精美的 iOS 应用原型.

iOS Web App初步

- - 新浪UED
iOS Web App开发,配合HTML5,是目前比较热门的话题. 今天,先抛开HTML5,我们来尝试在PhoneGap框架上进行简单的开发. PhoneGap是一个使用HTML,CSS和JavaScript的,创建移动跨平台移动应用程序的快速开发平台. 它使开发者能够利用iPhone,Android,Palm,Symbian,WP7,Bada和Blackberry等智能手机的核心功能——包括地理定位,加速器,联系人,声音和振动等,此外PhoneGap拥有丰富的插件,可以以此扩展无限的功能.