XcodeGhost截胡攻擊和服務端的惡意行為分析

2015-10-26 09:09 作者：admin 瀏覽量：

　　XcodeGhost作者的服務器關閉了，但是受感染的app的行為還在，這些app依然孜孜不倦的向服務器(比如init.icloud-analysis.com，init.icloud-diagnostics.com等)發送著請求。這時候黑客只要使用DNS劫持或者污染技術，聲稱自己的服務器就是”init.icloud-analysis.com”，就可以成功的控制這些受感染的app。具體能干什么能，請看我們的詳細分析。（網絡外包公司）

　　惡意行為一 定向在客戶端彈(詐騙)消息

　　該樣本先判斷服務端下發的數據，如果同時在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，則調用UIAlertView在客戶端彈框顯示消息窗口：

　　消息的標題、內容由服務端控制

　　客戶端啟動受感染的App后，彈出如下頁面：

　　惡意行為二 下載企業證書簽名的App

　　當服務端下發的數據同時包含“configUrl”、“scheme”字段時，客戶端調用Show()方法，Show()方法中調用UIApplication.openURL()方法訪問configUrl：

　　通過在服務端配置configUrl，達到下載安裝企業證書App的目的：(北京it外包)

　　客戶端啟動受感染的App后，目標App將被安裝：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMzM1Ng==.html

　　惡意行為三 推送釣魚頁面

　　通過在服務端配置configUrl，達到推送釣魚頁面的目的：

　　客戶端啟動受感染的App后，釣魚頁面被顯示：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMjkyOA==.html(IT外包)

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.richjn.cn