为XcodeGhost“解毒”的安全团队们，能给几分？

阅读:

一次猥琐的 XcodeGhost 投毒，酿造了 iOS 平台迄今为止最大的一次信任危机。此前仅有 5 款恶意 APP 通过审核的 App Store 目前已经下架了超过 800 款受 XcodeGh

一次猥琐的 XcodeGhost 投毒，酿造了 iOS 平台迄今为止最大的一次信任危机。此前仅有 5 款恶意 APP 通过审核的 App Store 目前已经下架了超过 800 款受 XcodeGhost 感染的 APP。这次 XcodeGhost 事件的影响空前，但是危险和机遇并存，在这次突发事件中，国内各大安全平台就借快速反应和精准分析给看客们留下了深刻印象。

XcodeGhost 事件的发端就是腾讯安全应急响应中心偶然发现的。在 9 月 14 日之前，腾讯安全应急响应中心发现有 APP 行为异常：

不久前，我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量，行为非常可疑，于是终端安全团队立即跟进，经过加班加点的分析和追查，我们基本还原了感染方式、病毒行为、影响面。

腾讯安全应急响应中心在对异常行为进行分析之后上报了国家互联网应急中心（CNCERT），随后在 9 月 14 日 CNCERT 发布了一条预警通报，并将信息通报到涉及其中的互联网公司。

9 月 16 日，腾讯安全应急响应中心分析之后认定仅 App Store 排行榜 TOP 5000 的 APP 内就有 76 款被感染，于是迅速向苹果和波及的厂商同步受感染信息。

此时信息还仅仅停留部分开发者可知的范围内。不过随后有开发者开始在微博上发布相关信息，于是“APP 被投毒”的消息迅速在社交媒体微博、微信上开始扩散，国外安全平台 paloalto 发布了第一份分析报告，更多的国内安全平台开始介入。

在 9 月 17 日，阿里移动安全的蒸米和迅迪在安全原创平台上发表《Xcode编译器里有鬼 – XcodeGhost样本分析》，公布了样本分析结果，并对开发者自检作出了提示：

为了防止app被插入恶意库文件，开发者除了检测”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的framework文件之外，还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths中的设置。看看是否有可疑的frameworks混杂其中。

同时，阿里移动安全认为 XcodeGhost 作者并没有严重的恶意行为，但是提醒开发者在开发过程中还是需要注意此类安全问题。

虽然XCodeGhost并没有非常严重的恶意行为，但是这种病毒传播方式在iOS上还是首次。也许这只是病毒作者试试水而已，可能随后还会有更大的动作，请开发者务必要小心。

在阿里移动安全初步分析了 XcodeGhost 之后，360 涅槃团队开始接管了 XcodeGhost 的检测和深入分析工作。

9 月 18 日晚间，360 涅槃团队在对 Xcode 木马样本分析之后发布了受影响的 APP 目录，确认包括微信（6.2.5）、嘀嘀出行（4.0.0）、滴滴打车（3.9.7）、联通手机营业厅（3.2）和网易云音乐（2.8.3）等 18 个 APP 或 APP 版本受到波及。

苹果iPhone手机通过官方Appstore下载的应用程序已不再安全，请iPhone用户及apple开发者自查木马程序，及时清理，Xcode木马样本详细分析报告如下 OXcode木马详细分析 @360安全应急响应中心 @360网络攻防实验室 @360安全卫士

9 月 19 日上午，在扫描了 14.5 万个 APP 之后，360 涅槃团队认为被投毒的 APP 数量为 344 款。受波及的范围存在扩大化的趋势。

团队连夜扫描14.5万app，共发现344款app感染木马，其中不乏有百度音乐，微信，高德，滴滴，花椒，58同城，网易云音乐，12306，同花顺，南方航空，工行融e等用户量很广的app，涉及互联网金融铁路航空游戏等领域，危害极大@360安全卫士紧急扩散。

在 9 月 19 日晚间，360 涅槃团队在互联网安全媒体平台 FreeBuf 发布文章，在验证还原 XcodeGhost 逻辑结构之后认为其存在恶意下发木马行为，推翻了此前阿里移动安全认为其没有严重恶意行为的结论。

我们通过还原恶意iOS应用与C2服务器的通信协议，测试出了受感染的iOS应用有哪些恶意行为。经过分析了攻击的发起点Xcode，分析了其存在的弱点以及利用过程，并验证了该攻击方法。

在 9 月 21 日，涅槃团队在 360 安全播报平台发布消息称检测发现的被投毒的 APP 数量上升到 1078 款。

此时苹果官方已经于 19 日开始下架受感染 APP，正常的事态发展应该是被投毒 APP 更新，XcodeGhost 影响逐渐被清除。但是本次事件并没有就此收尾。

21 日晚百度安全实验室的 @evil_xi4oyu 在微博上曝出 Unity 中被植入了相同逻辑的恶意代码将 XcodeGhost 事件推向了又一个高潮：

当然不止是xcode , 已经确认Unity-4.X的感染样本增加了在./Unity/Unity.app/Contents/PlaybackEngines/iossupport/Trampoline/Libraries/libiPhone-lib-il2cpp.a 中的libiPhone-lib-il2cpp.a-*-master.o ,恶意代码和 xcode中的逻辑一致，上线域名是init.icloud-diagnostics.com,各位开发再看看

今天（9 月 22 日）早上 3 点左右，阿里移动安全的蒸米等人在乌云知识库发布文章，详细还原了此前 360 涅槃团队验证的 XcodeGhost 恶意行为，并认为 XcodeGhost 还存在下载安装企业证书 APP、施行 url scheme 攻击等行为，同时发布投毒者论坛发帖截图认为 Unity 3D 确实被投毒，并且投毒者已经开始删除证据：

另外，有证据表明unity 4.6.4 – unity 5.1.1的开发工具也受到了污染，并且行为与XcodeGhost一致，更恐怖的是，还有证据证明XcodeGhost作者依然逍遥法外。