首页 >热门资讯> 在线作图 > 疑点披露:XcodeGhost 威胁情报分析 >

疑点披露:XcodeGhost 威胁情报分析

转载时间:2022.03.02(原文发布时间:2015.09.22)
89
转载作者:36氪企服点评小编
阅读次数:89次

编者按:本文来自微步在线。微步在线 (Threatbook) 是国内安全威胁情报 (Threat Intelligence) 领域的创业公司,近期已完成千万元天使轮融资,由北极光创投领投,云天使基金和安全产业基金参投。欢迎交流:contactus@virusbook.cn

一、前言

相信这几天小伙伴都被XcodeGhost事件刷屏,作为国内首家安全威胁情报公司ThreatBook从威胁情报的角度深入挖掘XcodeGhost事件,在这篇文章中我们将分析:

1、XcodeGhost的作者究竟是谁;

2、XcodeGhost的目的是什么;

通过ThreatBook威胁情报关联分析,我们挖掘出了XcodeGhost背后控制者的相关信息和其拥有的网络资产,以及XcodeGhost与KeyRaider、TrojanSpy病毒的关联。

二、事件回顾

9月12日,腾讯首先发现此问题,并通知CNCERT;

9月17日,阿里移动安全发布首篇分析报告,并将此样本命名为XcodeGhost;

9月18日,美国安全厂商Palo Alto Networks发布分析报告;

ThreatBook通过威胁情报分析,2015年3月到9月间XcodeGhost样本中使用的域名访问增长趋势如下:

Image title

三、XcodeGhost的作者是谁

虽然XcodeGhost隐藏了其使用的三个域名注册信息,但ThreatBook通过威胁情报关联分析,揭示了XcodeGhost背后控制者所拥有的网络资产:

Image title

ThreatBook发现XcodeGhost多个相关域名注册时所使用的身份为:

姓名:Wang ****

邮箱:778***@qq.com,473***@qq.com

手机:132****520

座机:0532-6657****

网络支付帐号:473***@qq.com

常用网络身份:Zhou ****,Wang****,**** Wang;

其中,778***@qq.com帐号曾被山东某高校学生使用(不排除身份冒用的可能性)。

四、XcodeGhost的目的是什么

分析显示,XcodeGhost代码完全具备随时进行恶意行为的能力,不过到目前为止,尚无证据证明XcodeGhost被用于除收集信息以外的恶意行为,但整个事件仍存在几个疑点:

疑点一:XcodeGhost与KeyRaider的关系

今年 8月,PaloAlto Networks曾披露过代号为KeyRaider的恶意程序盗取了225000个Apple帐号,报告中提到KeyRaider曾向icloud-analysis.com发送信息。

有两种可能性:

1、XcodeGhost与KeyRaider是同一作者;

2、KeyRaider作者在2015年2至8月间也使用了感染XcodeGhost的开发环境;

代码分析结果表明第二种可能性较大;

疑点二:XcodeGhost与流行的PC木马病毒TrojanSpy的关系

2015年3至9月期间,与XcodeGhost相关的域名icloud-analysis.com和allsdk.org都曾指向IP地址50.63.202.48,ThreatBook通过威胁情报关联分析发现,同一时间段内超过七成的寄生于此IP地址的木马病毒属于TrojanSpy家族。

TrojanSpy为PC端木马病毒,主要恶意行为是窃取敏感信息并发送到远程服务器,被窃敏感信息包括:系统配置、当前运行进程、某些金融网站账户密码、浏览历史和按键记录。

例如:此木马变种TrojanSpy:Win32/Nivdort.Y经VirusBook安全分析云鉴定,被70%的杀毒软件识别为恶意程序

Image title

因此,XcodeGhost作者有可能还参与了其它PC端木马的构建,亦或TrojanSpy与XcodeGhost因为巧合使用了同一个IP地址。

参考来源:腾讯、乌云、Paloaltonetworks

[免责声明]

资讯标题: 疑点披露:XcodeGhost 威胁情报分析

资讯来源: 36氪官网

36氪企服点评

在线作图相关的软件

查看更多软件

大厂都在用的在线作图软件

限时免费的在线作图软件

新锐产品推荐

消息通知
咨询入驻
商务合作