事件跟踪:关于iOS平台木马WireLurker的分析


发布人:admin分类:网络安全浏览量:39发布时间:2017-12-12

最近出现了一款名为WireLurker的针对iPhone和Mac OSX平台的恶意软件也许大家对这个事情已经并不陌生,但刨根问底总是必要的,现在让我们一起来看看细节吧。

这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker。网络安全公司Palo Alto发现了这一威胁,并发布了一份详细的报告。卡巴斯基将WireLurker使用的可疑文件以以下病毒名称予以拦截:

Mac OS X:

Trojan-Downloader.OSX.WireLurker.a
Trojan-Downloader.OSX.WireLurker.b
Trojan.OSX.WireLurker.a

苹果 iOS:

Trojan-Spy.IphoneOS.WireLurker.a
Trojan-Spy.IphoneOS.WireLurker.b

Windows:

Trojan.Win32.Wirelurker.a

2014年7月,我们发现WireLurker恶意软件会连接到位于香港的C&C(远程命令和控制)服务器。在接下去的几个月中这些连接依然存在,只是连接数量始终很低。

初现江湖

有趣的是,今年早些时候某些论坛上已经有关于这个病毒的讨论了,尤其是在中文和韩文的论坛,在某些英文论坛中也有。

7月14日,有一位名为SirBlanton的用户在某中文论坛上提到了这个恶意软件:

这个帖子是发布在"bbs.maiyadi.com"这个论坛上的,非常有趣,"maiyadi.com"下另一个子域名被恶意软件用作了C&C服务器(见下文)。

5月29日,某个韩国论坛也提到了被此病毒感染后的一台Mac OS X的反常行为:

Mac OS X和苹果iOS并非能够传播病毒的所有平台。Alienvault公司的Jaime Blasco发现了一个与之相关的Win32恶意程序。

WireLurker Windows组件

文件名: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

如果时间戳没有被改动过,程序应该编译于2014年3月:

完整元数据集:

Machine Type                    : Intel 386 or later, and compatibles
Time Stamp                      : 2014:03:13 03:56:21-04:00
PE Type                         : PE32
Linker Version                  : 10.0
Code Size                       : 721920
Initialized Data Size           : 1364480
Uninitialized Data Size         : 0
Entry Point                     : 0xafb86
OS Version                      : 5.1
Image Version                   : 0.0
Subsystem Version               : 5.1
Subsystem                       : Windows GUI
File Version Number             : 1.0.0.1
Product Version Number          : 1.0.0.1
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : Chinese (Simplified)
Character Set                   : Unicode
File Description                : 绿色IPA安装器
File Version                    : 1.0.0.1
Internal Name                   : 绿色IPA安装器.exe
Original Filename               : 绿色IPA安装器.exe
Product Name                    : 绿色IPA安装器
Product Version                 : 1.0.0.1

文件的内部名称为"绿色IPA安装器"。这应该是用来在iOS设备上安装IPA文件的程序。

程序中暴露了一条调试路径:

E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb

程序包含了两个IPA(Apple程序应用文件),一个叫做"AVPlayer",另一个叫做"apps"。
AVPlayer.app似乎是一个正规的iOS应用,被攻击者用来伪装。

这是程序的icon图标:

AVPlayer似乎是由一位"teiron@25pp.com"开发者开发的。

第二个IPA程序更加有趣:

程序似乎是于2014年3月创建。"apps"程序与臭名昭著的"comeinbaby[.]com"进行通信:

而sfbase.dylib与另一个C&C进行通信:

这个Win32程序的目的是应该就是为了确保Windows用户也会将恶意软件感染到iOS设备。

KSN检测到的情况

卡巴斯基安全网络(KSN)是卡巴斯基的用来收集、检测可疑程序的数据库。下图显示的是在OSX上检测到的WireLurker:

如图所示,超过6成的感染来自中国。

总结

这次事件又是一记警钟,提醒我们无论使用的是什么平台,使用盗版(非正规)软件依旧存在风险。从非官方来源下载应用程序,比如从别的应用市场,文件分享网站或者通过种子或其他P2P文件分享网络下载都会增加感染恶意软件的风险。

在Mac OS X设备中也应该要安装反病毒软件,不仅是Mac OS X设备可能被感染病毒,WireLurker的案例中,病毒能从你的Mac传播到你的iPhone。

作为第一道防线,Mac OS X用户们应该检查”安全性与隐私”中的设置是安全的。建议开启Gatekeeper功能(”系统偏好设置”>”安全性与隐私”,在”允许从以下位置下载的应用程序”中,选中”App Store和被认可的开发者”,更加详细的信息参见此)。

您亦可参考卡巴斯基对Mac安全的指导:关于Mac安全的10条小贴士

更多信息:

C&C服务器:

app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78

MD5校验值:

3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14

[参考信息来源Securelist,Sphinx翻译并有适量删改,转载请注明来自Freebuf.COM]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21444362(PV) 页面执行时间:59.948(MS)
  • xml
  • 网站地图