Xcode Ghost

XcodeGhost

XcodeGhost(및 배리언트 XcodeGhost S)는 [1]악성코드로 간주되는 Apple Xcode 개발 환경의 수정 버전입니다.이 소프트웨어는 2015년 9월 중국에서 온 수많은 앱이 악성코드를 [2]숨겼을 때 처음 널리 알려졌습니다.BBC에 따르면 이는 "애플 앱스토어에 대한 최초의 대규모 공격"[3]으로 생각되었다.이러한 문제점들은 중국의 [4]선도적인 전자상거래 회사인 알리바바의 연구원들에 의해 처음 발견되었다.FireEye에 의하면, 중국 이외의 저자의 앱을 포함해,[5] 애플이 최초로 인정한 25개보다 훨씬 많은 4000개 이상의 앱이 감염되어 있다.

보안 회사인 Palo Alto Networks는 중국에서 네트워크 속도가 느렸기 때문에 중국의 개발자들이 Apple Xcode 개발 환경의 로컬 복사본을 찾다가 국내 웹사이트에 게시된 변경된 버전을 접했다고 추측했다.이로 인해 iOS [6][7]기기에서 사용되는 고성능 앱에 악성 프로그램을 삽입할 수 있게 되었습니다.

보안업체 FireEye는 최초 보고 후 두 달 후에도 수백 개의 기업이 여전히 감염된 앱을 사용하고 있으며 XcodeGhost는 "지속적인 보안 위험"[8][9]으로 남아 있다고 보고했습니다.이 회사는 또한 이 악성코드의 새로운 변종을 식별하여 XcodeGhost S라고 명명했다. 감염된 앱 중에는 인기 메시징 인 WeChat과 Netease 앱인 Music [10]163이 있었다.

검출

2015년 9월 16일 중국의 한 iOS[11] 개발자는 소셜 네트워크 시나 웨이보에서 Xcode의 악성코드가 Xcode와 함께 컴파일된 앱에 서드파티 코드를 주입한다고 언급했다.

[12] 후 알리바바 연구진은 악성코드에 대한 자세한 정보를 공개하고 XcodeGhost라고 불렀다.

2015년 9월 17일 Palo Alto Networks는 악성코드에 [13][14][15][16]대한 여러 보고서를 발표했습니다.

작동

전파

Apple 서버로부터의 다운로드 속도가 느리기 때문에, 중국의 iOS 개발자들은 Baidu가 호스팅하는 클라우드 스토리지 서비스인 Baidu Yun(현재의 Baidu WangPan)과 같은 서드파티 웹사이트에서 Xcode를 다운로드하거나 동료들로부터 복사본을 얻습니다.공격자는 이러한 파일 호스팅 [17]웹 사이트에 손상된 버전을 배포하여 이 상황을 이용했습니다.

Palo Alto Networks는 이 악성코드가 2015년 [16]3월에 사용 가능한 것으로 추정하고 있습니다.

공격 벡터

오리진스

에드워드 스노든에게서 유출된 문서입니다스트로호스:MacOS 및 iOS 소프트웨어 개발 키트 공격"

공격자는 컴파일러 백도어 공격을 사용했습니다.이 공격의 새로운 점은 Xcode 컴파일러의 수정입니다.그러나 에드워드 스노든이 유출한 문서에 따르면, 샌디아 국립 연구소의 CIA 보안 연구원들은 "애플의 독점 소프트웨어 개발 도구인 Xcode의 수정 버전을 만들었다"고 주장했다. Xcode는 이 [18]도구를 사용하여 만들어진 앱이나 프로그램에 감시 백도어를 몰래 넣을 수 있다.

수정된 파일

기존 버전의 XcodeGhost는 원본 Xcode 응용 프로그램에 파일을[13] 추가합니다.

  • iOS, iOS 시뮬레이터 및 OS X 플랫폼의 핵심 서비스 프레임워크
  • IDE 번들iOS, iOS 시뮬레이터 및 OS X 플랫폼에 주입 프레임워크 추가

XcodeGhost는 또한 악성 파일을[16] 컴파일된 앱에 링크하도록 링커를 수정했습니다.이 순서는 컴파일 로그에 기록되지만 Xcode IDE에는 기록되지 않습니다.

iOS와 OS X 앱 모두 XcodeGhost에 취약합니다.

도입

XcodeGhost는 [19]응용 프로그램에서 많이 사용되는 기능과 프레임워크를 포함하는 CoreServices 계층을 손상시켰습니다.개발자가 응용 프로그램을 손상된 버전의 Xcode로 컴파일하면 개발자가 모르게 악성 Core Services가 자동으로 앱에 통합됩니다.

그런 다음 악의적인 파일이 UIWindow 클래스 및 UIDevice 클래스에 코드를 추가합니다.UIWindow 클래스는 "앱이 장치 [20]화면에 표시하는 보기를 관리하고 조정하는 개체"입니다.

UIDevice 클래스는 현재 디바이스를 나타내는 싱글톤인스턴스를 제공합니다공격자는 이 인스턴스에서 할당된 이름, 장치 모델, 운영 체제 이름 및 [21]버전 등의 장치에 대한 정보를 얻을 수 있습니다.

감염된 디바이스에서의 동작

리모트 컨트롤 보안 리스크

XcodeGhost는 공격자가 명령 및 제어 서버에서 HTTP를 통해 전송한 명령을 통해 원격으로 제어할 수 있습니다.이 데이터는 ECB 모드에서 DES 알고리즘을 사용하여 암호화됩니다.이 암호화 모드는 취약한 것으로 알려져 있을 뿐만 아니라 역엔지니어링을 사용하여 암호화 키를 찾을 수 있습니다.공격자는 중간 공격을 수행하여 가짜 HTTP 트래픽을 장치로 전송할 수 있습니다(대화 상자 또는 특정 앱을 여는 등).

사용자 디바이스 정보 도용

iPhone 또는 Xcode 내부의 시뮬레이터를 사용하여 감염된 앱을 실행하면 XcodeGhost는 다음과 같은 장치 정보를 자동으로 수집합니다.

  • 현재 시각
  • 현재 감염된 앱 이름
  • 앱 번들 식별자
  • 현재 장치 이름 및 유형
  • 현행 시스템의 언어 및 국가
  • 현재 디바이스의 UUID
  • 네트워크 타입

그런 다음 악성 프로그램이 이러한 데이터를 암호화하여 명령제어 서버로 전송합니다.서버는 XcodeGhost 버전에 따라 다릅니다.Palo Alto Networks는 다음 3개의 서버 URL을 검색할 수 있었습니다.

  • http://init.crash-analytics.com
  • http://init.icloud-diagnostics.com
  • http://init.icloud-analysis.com

마지막 도메인은 iOS 멀웨어 KeyRaider에서도 [13]사용되었습니다.

클립보드에서 읽고 쓰기

XcodeGhost는 감염된 앱이 실행될 때마다 iOS 클립보드에 기록된 데이터를 저장할 수도 있습니다.또한 멀웨어는 이 데이터를 수정할 수 있습니다.사용자가 암호 관리 앱을 사용하는 경우 특히 위험할 수 있습니다.

특정 URL을 여는 하이잭

XcodeGhost는 감염된 앱이 실행될 때 특정 URL을 열 수도 있습니다.Apple iOS 및 OS X는 앱 간 통신 URL[22] 메커니즘(예: 'watsapp://', 'Facebook://', 'iTunes://')과 함께 작동하므로 공격자는 감염된 MacOS 응용프로그램의 경우 손상된 전화기 또는 컴퓨터에 설치된 모든 앱을 열 수 있습니다.이러한 메커니즘은 비밀번호 관리 앱이나 피싱 웹사이트에서 유해할 수 있습니다.

알림 알림 대화 상자

현재 알려진 버전에서는 XcodeGhost가 사용자 디바이스에 [16]경고 대화상자를 표시할 수 없습니다.단, 약간의 변경만 필요합니다.

UIAlertViewStyleLoginAndPasswordInput 속성과 함께 UIAlertView 클래스를 사용하면 감염된 앱은 일반 Apple ID 사용자 자격 증명 검사와 유사한 가짜 경보 대화 상자를 표시하고 명령 및 제어 서버로 입력을 전송할 수 있습니다.

감염된 응용 프로그램

모든 중국어 앱 중 IMs 앱, 은행 앱, 이동통신사 앱, 지도, 주식 거래 앱, SNS 앱, 게임 등이 감염됐다.인기 인스턴트 메시징 앱인 위챗(WeChat), 스마트폰 카메라나 윈집(WinZip)으로 문서를 스캔하는 앱인 캠스캐너(CamScanner) 등 전 세계에서 사용되는 인기 앱도 감염됐다.

Pangu 팀은 3,418개의 감염된 [23]앱을 집계했다고 주장했다.

네덜란드에 본사를 둔 보안 회사인 Fox-it은 [24][25]중국 밖에서 수천 건의 악성 트래픽을 발견했다고 발표했습니다.

제거

명령 및 제어 서버 및 손상된 버전의 Xcode 무력화

Alibaba와 Palo Alto Networks의 기사 이후, Amazon은 XcodeGhost가 사용하던 모든 서버를 철거했다.바이두는 클라우드 스토리지 서비스에서 악성 X코드 설치 프로그램을 모두 제거했다.

앱 스토어에서 악성 앱 제거

2015년 9월 18일, Apple은 악성코드의 존재를 인정하고 손상된 앱을 가진 모든 개발자들에게 다시 검토를 위해 앱을 제출하기 전에 깨끗한 버전의 Xcode로 컴파일할 것을 요청하기 시작했습니다.

Pangu Team은 기기에서 감염된 앱을 탐지하는 도구를[26] 출시했지만 다른 안티바이러스 앱과 마찬가지로 탈옥하지 않은 장치에서는 실행되지 않습니다.Apple은 iOS App [27]Store에 안티바이러스 앱을 허용하지 않습니다.

Xcode 버전 확인 중

Apple은 Xcode 개발자에게[28][29] Xcode 버전을 확인하고 항상 Gatekeeper를 활성화하도록 조언합니다.

레퍼런스

  1. ^ Dan Goodin (September 21, 2015). "Apple scrambles after 40 malicious "XcodeGhost" apps haunt App Store". Ars Technica. Retrieved 2015-11-05.
  2. ^ Joe Rossignol (September 20, 2015). "What You Need to Know About iOS Malware XcodeGhost". macrumors.com. Retrieved 2015-11-05.
  3. ^ "Apple's App Store infected with XcodeGhost malware in China". BBC News. 2015-09-21. Retrieved 2016-09-22.
  4. ^ "Apple's App Store infected with XcodeGhost malware in China". BBC News. 21 September 2015. Retrieved 2015-11-05.
  5. ^ "Protecting Our Customers from XcodeGhost". FireEye. Retrieved 9 November 2021.
  6. ^ Byford, Sam (September 20, 2015). "Apple removes malware-infected App Store apps after major security breach". The Verge. Retrieved 2015-11-05.
  7. ^ James Temperton (September 21, 2015). "Apple App Store hack: XcodeGhost attack strikes China (Wired UK)". Wired UK. Retrieved 2015-11-05.
  8. ^ Kirk, Jeremy (November 4, 2015). "Many US enterprises still running XcodeGhost-infected Apple apps, FireEye says". InfoWorld. Retrieved 2015-11-05.
  9. ^ Ben Lovejoy (November 4, 2015). "A modified version of XcodeGhost remains a threat as compromised apps found in 210 enterprises". 9to5Mac. Retrieved 2015-11-05.
  10. ^ Yong Kang; Zhaofeng Chen; Raymond Wei (3 November 2015). "XcodeGhost S: A New Breed Hits the US". FireEye. Retrieved 2015-11-05. XcodeGhost S: A New Breed Hits the US
  11. ^ "First mention of XcodeGhost on SinaWeibo". Sina Weibo. September 17, 2015. Retrieved 2015-11-11.
  12. ^ "Xcode编译器里有鬼 – XcodeGhost样本分析-安全漏洞-安全研究-阿里聚安全". jaq.alibaba.com. Retrieved 2015-11-11.
  13. ^ a b c Claud Xiao (September 17, 2015). "Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  14. ^ Claud Xiao (September 18, 2015). "Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  15. ^ Claud Xiao (September 18, 2015). "Update: XcodeGhost Attacker Can Phish Passwords and Open URLs through Infected Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  16. ^ a b c d Claud Xiao (September 21, 2015). "More Details on the XcodeGhost Malware and Affected iOS Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  17. ^ Thomas Fox-Brewster (September 18, 2015). "Hackers Sneak Malware Into Apple App Store 'To Steal iCloud Passwords'". Forbes. Retrieved 2015-11-11.
  18. ^ Jeremy Scahill; Josh Begley (March 10, 2015). "The CIA Campaign to Steal Apple's Secrets". The Intercept. Retrieved 2015-11-11.
  19. ^ "Core Services Layer". developer.apple.com. Retrieved 2015-11-11.
  20. ^ "UIWindow Class Reference". developer.apple.com. Retrieved 2015-11-11.
  21. ^ "UIDevice Class Reference". developer.apple.com. Retrieved 2015-11-11.
  22. ^ "Inter-App Communication". developer.apple.com. Retrieved 2015-11-11.
  23. ^ "Pangu Team on Weibo". September 21, 2015. Retrieved 2015-11-11.
  24. ^ "Combined research Fox-IT and Palo Alto Networks revealed popular apps infected with malware". Fox-it. September 18, 2015. Archived from the original on 2016-08-12. Retrieved 2015-11-11.
  25. ^ Thomas, Brewster (Sep 18, 2015). "Hackers Sneak Malware Into Apple App Store 'To Steal iCloud Passwords'". Archived from the original on Nov 25, 2016.
  26. ^ "Xcode病毒检测,XcodeGhost病毒检测 - 盘古越狱". x.pangu.io. Retrieved 2015-11-11.
  27. ^ Haslam, Karen. "Why the iOS app XcodeGhost exploit shouldn't concern you". Macworld UK. Retrieved 2017-09-24.
  28. ^ "有关 XcodeGhost 的问题和解答". Apple. Archived from the original on November 14, 2015. Retrieved June 17, 2016.
  29. ^ "Validating Your Version of Xcode - News and Updates - Apple Developer". developer.apple.com. Retrieved 2015-11-11.