蒸米_MDCC2015_print.pdf

编译器里有鬼 – XCodeGhost事件全程回顾 蒸米@阿里移动安全 2015-09-14 00:00 CNCERT • 虽然早早就有预警了，但大家都没把这个预警当回事。。。 2015-09-17 09:45 唐巧微博 • 直到唐巧的这条微博。。。 • 微博里面提到了一个非常关键的点 – 注入代码文件的位置： /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Develope r/SDKs/Library/Frameworks/CoreServices.framework/CoreService 2015-09-17 14:00 - 17:43 阿里移动安全 • 17:43 我们发表了 《Xcode编译器里有鬼 – XcodeGhost样本分析》 在乌云知识库。 • 这是第一篇公开的关于 XcodeGhost的技术分析 文章，并且首次对 XcodeGhost这个病毒进 行了命名。 • 命名由来是@Xundi 说 的一句话: “这事真是见 鬼了。。。” 2015-09-17 17:43 XcodeGhost逆向分析 • 感染了XcodeGhost的应用会收集一些基本信息，包括：时间，bundle id(包名) ，应用 名称，系统版本，语言，国家等。 • 感染了XcodeGhost的应用会根据服务器的命令调用OpenURL()函数或弹出对话框。 Attack Demo • 伪造短信 • 推广应用 • 安装推广应用 • 弹出钓鱼页面 2015-09-17 17:43 XcodeGhost域名分析 “”: Godaddy为域名提供了whois隐私保护服务。 2015-09-18 07:00 Palo Alto Networks • Palo alto networks发布报告，并称被感染的 知名App Store应用之一为”网易云音乐”。 2015-09-18 11:00 网易云音乐 • 我们随后在文章中更新了”网易云音乐”中毒的事情 ，并引发业界关于iOS / XCode安全性的一系列事件。 2015-09-18 23:00 奇虎360 • 360团队率先公布了比较全 面的中毒APP列表。 • 阿里移动安全随后也公布了