“破界”(WireLurker)综合分析报告

安全 移动安全
北京时间11月6日起,引发业内关注的一个被称为“WireLurker”新样本通过Windows和Mac OS X系统实现对iOS系统的侵害。这个样本的形态和特点,无疑值得关注和深入分析。

如果“网络威胁”是一个幽灵的话,那么2014年,这个幽灵就一直在流窜。当“心脏出血(Heartbleed)”和“破壳(Shellshock)”把我们的目光刚刚锁定在类UNIX系统和开源领域时,沙虫(SandWorm)漏洞又让我们重回Windows战场。而北京时间11月6日起,引发业内关注的一个被称为“WireLurker”新样本通过Windows和Mac OS X系统实现对iOS系统的侵害。这个样本的形态和特点,无疑值得关注和深入分析,鉴于此样本影响的平台非常广泛,安天组成了由安天CERT(安天安全研究与应急处理中心)和AVL TEAM(安天旗下独立移动安全研究团队)的联合分析小组,但在我们同时研究了此次威胁的先发厂商Palo Alto Networks的大报告后,我们发现其已经非常详尽完备。在当年Stuxnet、Flame的分析中,我们意识到与兄弟厂商之间进行马拉松式的分析竞赛,一方面会能提升分析深度和粒度,但同时也会造成业内资源的冗余消耗,是一柄双刃剑。因此我们决定减少此次分析兵力投入。以安天CERT和AVL Team的新分析员为主完成此次分析。雏鹰初飞,如有不足之处, 希望得到批评指正。也希望大家通读Palo Alto Networks的报告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。获得更系统全面的信息。

该恶意代码被其发现者Palo Alto Networks命名为“WireLurker”,直译其名为“连线潜伏者”。在我们讨论中文命名时,考虑到WireLurker主要拥有如下传播特点:通过第三方APP市场“麦芽地”(亦发现百度网盘的分享)进行下载传播到iOS系统;亦具有如下功能特点:在Windows平台运行带有恶意代码的包裹文件并将恶意代码安装到iOS系统、在Mac OS X平台运行带有恶意代码的包裹文件并将恶意代码安装到iOS系统;最终对iOS系统相关文件进行窃取回传。从相关WireLurker样本所传播的环境涉及到Windows、Mac OSX两个桌面系统,涉及到一家第三方APP市场,并最终危害智能终端操作系统iOS的特点来看,跨越了多个系统平台,利用相关同步接口,突破了各平台间的边界,所以安天经过讨论最终将WireLurker的中文命名定为“破界”。下图是此恶意代码的整体传播与执行的示意图,或许能解释我们将其中文名命名为“破界”的初衷。

“破界”(WireLurker)综合分析报告

“破界”恶意代码在用户iOS系统中主要恶意行为:获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息并通过POST上传到服务器,其中通信录和短信通过sqlite数据库获取,还会检测更新样恶意代码版本。

因在安天进行分析时,Palo Alto Networks在其美国公司所在地时间11月5日发布针对苹果OS X及iOS系统的恶意代码新家族的分析大报告,并将其命名为“WireLurker”。按恶意代码家族命名中的规律,以早发现反病毒厂商命名为准,所以安天英文命名为:Trojan/iOS.WireLurker。

详细报告请点击:http://down.51cto.com/data/1898686

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2014-10-22 09:33:10

2018-01-03 23:52:16

综合布线通信网络

2016-04-29 09:27:34

模界

2016-03-10 09:31:06

2014-11-12 16:52:14

2019-03-25 20:57:05

联想

2014-11-10 16:56:40

2011-03-01 14:07:05

布线

2014-10-23 09:40:57

2009-10-19 18:04:13

综合布线系统

2012-07-02 14:47:38

HTML5

2014-11-07 11:20:19

2014-11-19 15:56:42

2018-11-15 08:53:25

小程序Web开发

2014-11-19 16:42:29

2023-07-05 12:22:06

2020-09-21 14:32:44

网络安全数据技术

2009-10-16 17:11:17

智能综合布线系统

2015-08-18 14:07:34

综合布线

2009-10-21 15:10:28

大楼综合布线系统
点赞
收藏

51CTO技术栈公众号