XcodeGhost截胡攻擊和服務端的惡意行為分析

2015-10-26 09:09 作者：admin 瀏覽量：

　　XcodeGhost作者的服務器關閉了，但是受感染的app的行為還在，這些app依然孜孜不倦的向服務器(比如init.icloud-analysis.com，init.icloud-diagnostics.com等)發(fā)送著請求。這時候黑客只要使用DNS劫持或者污染技術，聲稱自己的服務器就是”init.icloud-analysis.com”，就可以成功的控制這些受感染的app。具體能干什么能，請看我們的詳細分析。（網(wǎng)絡外包公司）

　　惡意行為一 定向在客戶端彈(詐騙)消息

　　該樣本先判斷服務端下發(fā)的數(shù)據(jù)，如果同時在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，則調用UIAlertView在客戶端彈框顯示消息窗口：

　　消息的標題、內容由服務端控制

　　客戶端啟動受感染的App后，彈出如下頁面：

　　惡意行為二 下載企業(yè)證書簽名的App

　　當服務端下發(fā)的數(shù)據(jù)同時包含“configUrl”、“scheme”字段時，客戶端調用Show()方法，Show()方法中調用UIApplication.openURL()方法訪問configUrl：

　　通過在服務端配置configUrl，達到下載安裝企業(yè)證書App的目的：(北京it外包)

　　客戶端啟動受感染的App后，目標App將被安裝：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMzM1Ng==.html

　　惡意行為三 推送釣魚頁面

　　通過在服務端配置configUrl，達到推送釣魚頁面的目的：

　　客戶端啟動受感染的App后，釣魚頁面被顯示：

　　demo地址：http://v.youku.com/v_show/id_XMTM0MTQyMjkyOA==.html(IT外包)

　　艾銻無限是中國領先IT外包服務商，專業(yè)為企業(yè)提供IT運維外包、電腦維護、網(wǎng)絡維護、網(wǎng)絡布線、辦公設備維護、服務器維護、數(shù)據(jù)備份恢復、門禁監(jiān)控、網(wǎng)站建設等多項IT服務外包,服務熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會展2號樓16D,用心服務每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.qiaojiaju.cn