异型管厂家
免费服务热线

Free service

hotline

010-00000000
异型管厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

瞧一瞧:服务器方关了就结束了?Unit起yGhost被曝染的毒与XcodeGhost类刚似

发布时间:2022-04-20 11:10:10 阅读: 来源:异型管厂家
服务器方关了就结束了?Unit起yGhost被曝染的毒与XcodeGhost类刚似

核心提示:服务器关了就结束了?UnityGhost被曝染毒与XcodeGhost类似乌云微博PanguTeam微博9月22日,苹果开发工具染毒事件尚未完全平

服务器关了就结束了?UnityGhost被曝染毒与XcodeGhost类似

乌云微博

PanguTeam微博

9月22日,苹果开发工具染毒事件尚未完全平息,盘古团队22日凌晨爆料称,目前已经有证据证明一些游戏引擎的下载地址也被感染病毒,例如Unity和Cocos2d-x,并且这些引擎的安卓版也被感染病毒。

盘古团队表示,此次游戏引擎感染与苹果后门漏洞原理相同,后经证实是同一个人制造并传播。

乌云知识库平台也于凌晨发布报告称,百度安全实验室称已经确认Unity-4.X的感染样本。并且逻辑行为和XcodeGhost一致,只是上线域名变更。这意味,凡是用过被感染的Unity的App都有窃取隐私和推送广告等恶意行为。

乌云联合创始人、安全专家孟卓告诉腾讯科技,感染的根本原因还是开发者没有从官方地址下载开发工具。

截至发稿时,触控科技回应称,其已内部排查确认官网下载安装包没有被植入恶意代码。目前正在排查CocosStore,稍晚会得出结论。

Unity方面表示,需要技术部门确认。

资料显示,Unity是由UnityTechnologies开发的一个可创建三维视频游戏、建筑可视化、实时三维动画等类型互动内容游戏开发工具。其编辑器运行在Windows和MacOSX下,可发布游戏至Windows、Mac、Wii、iPhone、WindowsPhone8和Android等平台。以Unity为引擎开发的游戏包括《纪念碑谷》、《炉石传说》、《神庙逃亡2》等。

Cocos是由触控科技推出的游戏开发一站式解决方案,其中Cocos2d-x是一个开源的移动2D游戏框架,其开发的项目可以很容易地建立和运行在iOS,Android,黑莓Blackberry等操作系统中,还支持Windows、Mac和Linux等桌面操作系统。

值得注意的是,乌云报告显示,虽然XcodeGhost作者的服务器关闭了,但是受感染的App的行为还在,这些App依然孜孜不倦的向服务器发送着请求。这时候黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是相关服务器,就可以成功的控制这些受感染的App。

此前,曝出XcodeGhost事件让苹果的安全性受到了很大挑战。一些开发者从第三方网站下载的开发工具Xcode被植入恶意代码,导致应用具有上传用户的信息潜在威胁。部分应用开发者已提供新的安装包,而苹果也在AppStore下架受此感染的应用。

相关文章

你以为服务器关了这事就结束了?

XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警

文/作者:没羽,蒸米,阿刻,迅迪@阿里移动安全

地址:http://drops.wooyun.org/papers/9024

0x00序


新疆心胸科医院排行榜

截胡,麻将术语,指的是某一位玩家打出一张牌后,此时如果多人要胡这张牌,那么按照逆时针顺序只有最近的人算胡,其他的不能算胡。现也引申意为断别人财路,在别人快成功的时候抢走了别人的胜利果实。

虽然XcodeGhost作者的服务器关闭了,但是受感染的app的行为还在,这些app依然孜孜不倦的向服务器(比如init.icloud-analysis.com,init.icloud-diagnostics.com等)发送着请求。这时候黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是init.icloud-analysis.com,就可以成功的控制这些受感染的app。具体能干什么能,请看我们的详细分析。

另外,有证据表明unity4.6.4–unity5.1.1的开发工具也受到了污染,并且行为与XcodeGhost一致,更恐怖的是,还有证据证明XcodeGhost作者依然逍遥法外,具体内容请查看第三节。

PS:虽然涅槃团队已经发出过攻击的demo了2,但很多细节并没有公布。所以我们打算在这篇文章中给出更加详细的分析过程供大家参考。

0x01通信协议分析


在受感染的客户端App代码中,有个Response方法用于接收和处理远程服务器指令。

criptionhere"/>

Response方法中根据服务器下发的不同数据,解析成不同的命令执行,根据我们分析,此样本大致支持4种远程命令,分别是:设置sleep时长、窗口消息、urlscheme、appStore窗口。

通过4种远程命令的单独或组合使用可以产生多种攻击方式:比如下载安装企业证书的App;弹AppStore的应用进行应用推广;弹钓鱼页面进一步窃取用户信息;如果用户手机中存在某urlscheme漏洞,还可以进行urlscheme攻击等。新疆心胸科医院排行榜

criptionhere"/>

其通信协议是基于http协议的,在传输前用DES算法加密httpbody。Response方法拿到服务器下发送的数据后,调用Decrypt方法进行解密:

criptionhere"/>

如果解密成功,将解密后的数据转换成JSON格式数据:

criptionhere"/>

然后判断服务器端下发的数据,执行不同的操作。如下面截图是设置客户端请求服务端器sleep时长的操作:

criptionhere"/>

0x2恶意行为分析及还原


在逆向了该样本的远程控制代码后,我们还原了其服务端代码,进一步分析其潜在的危害。

首先我们在服务端可以打印出Request的数据,如下图:

criptionhere"/>

红色框标记的协议的头部部分,前4字节为报文长度,第二个2字节为命令长度,最后一个2字节为版本信息,紧跟着头部的为DES的加密数据。我们在服务端将数据解密后显示为:

criptionhere"/>

这里有收集客户端信息上传到控制服务器。

同样我们返回加密数据给客户端:

criptionhere"/>

明文信息为:

criptionhere"/>

客户端根据App的运行状态向服务端提供用户信息,然后控制服务器根据不同的状态返回控制数据:

criptionhere"/>

恶意行为一定向在客户端弹(诈骗)消息

该样本先判断服务端下发的数据,如果同时在在alertHeader、alertBody、appID、cancelTitle、/confirm/iTitle、scheme字段,则调用UIalertView在客户端弹框显示消息窗口:

criptionhere"/>

消息的标题、内容由服务端控制

criptionhere"/>

客户端启动受感染的App后,弹出如下页面:

恶意行为二下载企业证书签名的App

当服务端下发的数据同时包含configUrl、scheme字段时,客户端调用Show()方法,Show()方法中调用UIApplication.openURL()方法访问configUrl:

criptionhere"/>

通过在服务端配置configUrl,达到下载安装企业证书App的目的:

criptionhere"/>

客户端启动受感染的App后,目标App将被安装(注意:演示应用为测试应用,不代表恶意软件推广该应用):

demo地址:http://v.youku.com/v_show/id_XMTM0MTQyMzM1Ng==.html

0x03UnityGhost?


在大家以为一切都完结的时候,百度安全实验室称已经确认Unity-4.X的感染样本。并且逻辑行为和XcodeGhost一致,只是上线域名变成了init.icloud-diagnostics.com。这意味,凡是用过被感染的Unity的app都有窃取隐私和推送广告等恶意行为。

criptionhere"/>

Unity是由UnityTechnologies开发的一个让玩家创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎。很多有名的手机游戏比如神庙逃亡,纪念碑谷,炉石传说都是用unity进行开发的。

更令人恐怖的是,在百度安全实验室确认后没多久,大家就开始在网上寻找被感染的Unity工具,结果在我搜到一个Unity3D下载帖子的时候发现codeFun与2015-09-2201:18编辑了帖子!?要知道codeFun就是那个自称XcodeGhost作者的人啊。他竟然也一直没睡,大半夜里一直在看大家发微博观察动静?随后发现大家知道了Unity也中毒的事情,赶紧去把自己曾经投毒的帖子删了?

criptionhere"/>

现在再去看那个帖子已经被作者删的没有任何内容了。。。http://game.ceeger.com/forum/read.php?tid=21630&fid=8

criptionhere"/>

但根据XcodeGhost作者没删之前的截图表明,从unity4.6.4–unity5.1.1的开发工具都有可能被投毒了!

0x04总结


虽然病毒作者声称并没有进行任何广告或者欺诈行为,但不代表别人不会代替病毒作者进行这些恶意行为。并且作者依然还在逍遥法外!所以立刻!马上!删掉那些中毒的app吧!

0x05参考资料


涅槃团队:Xcode幽灵病毒存在恶意下发木马行为http://drops.wooyun.org/papers/8973XcodeGhost源码https://github.com/XcodeGhostSource/XcodeGhost

新疆心胸科医院排行榜

0x06更新


1在百度安全实验室的帮助下,我们已经拿到了UnityGhost的样本。基本信息如下:

$shasumlibiPhone-lib-il2cpp.a-armv7-master.o625ad3824ea59db2f3a8cd124fb671e47740d3bdlibiPhone-lib-il2cpp.a-armv7-master.o$filelibiPhone-lib-il2cpp.a-armv7-master.olibiPhone-lib-il2cpp.a-armv7-master.o:Mach-OobjectarmPL5udY