如果“網(wǎng)絡(luò)威脅”是一個(gè)幽靈的話，那么2014年，這個(gè)幽靈就一直在流竄。當(dāng)“心臟出血(Heartbleed)”和“破殼(Shellshock)”把我們的目光剛剛鎖定在類UNIX系統(tǒng)和開(kāi)源領(lǐng)域時(shí)，沙蟲(chóng)(SandWorm)漏洞又讓我們重回Windows戰(zhàn)場(chǎng)。而北京時(shí)間11月6日起，引發(fā)業(yè)內(nèi)關(guān)注的一個(gè)被稱為“WireLurker”新樣本通過(guò)Windows和Mac OS X系統(tǒng)實(shí)現(xiàn)對(duì)iOS系統(tǒng)的侵害。這個(gè)樣本的形態(tài)和特點(diǎn)，無(wú)疑值得關(guān)注和深入分析，鑒于此樣本影響的平臺(tái)非常廣泛，安天組成了由安天CERT(安天安全研究與應(yīng)急處理中心)和AVL TEAM(安天旗下獨(dú)立移動(dòng)安全研究團(tuán)隊(duì))的聯(lián)合分析小組，但在我們同時(shí)研究了此次威脅的先發(fā)廠商Palo Alto Networks的大報(bào)告后，我們發(fā)現(xiàn)其已經(jīng)非常詳盡完備。在當(dāng)年Stuxnet、Flame的分析中，我們意識(shí)到與兄弟廠商之間進(jìn)行馬拉松式的分析競(jìng)賽，一方面會(huì)能提升分析深度和粒度，但同時(shí)也會(huì)造成業(yè)內(nèi)資源的冗余消耗，是一柄雙刃劍。因此我們決定減少此次分析兵力投入。以安天CERT和AVL Team的新分析員為主完成此次分析。雛鷹初飛，如有不足之處， 希望得到批評(píng)指正。也希望大家通讀Palo Alto Networks的報(bào)告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。獲得更系統(tǒng)全面的信息。

　　同時(shí)令我們非常開(kāi)心的是，Palo Alto Networks相關(guān)報(bào)告的主筆亦曾是安天CERT曾經(jīng)的小伙伴Claud Xiao。盡管遠(yuǎn)隔重洋，但我們依然面對(duì)同樣的安全威脅而戰(zhàn)斗。

　　海上出明月，應(yīng)急響應(yīng)時(shí)?；锇楦艉Ｍ?，不覺(jué)起相思。

　　中文命名與概述

　　該惡意代碼被其發(fā)現(xiàn)者Palo Alto Networks命名為“WireLurker”，直譯其名為“連線潛伏者”。在我們討論中文命名時(shí)，考慮到WireLurker主要擁有如下傳播特點(diǎn)：通過(guò)第三方APP市場(chǎng)“麥芽地”(亦發(fā)現(xiàn)百度網(wǎng)盤(pán)的分享)進(jìn)行下載傳播到iOS系統(tǒng);亦具有如下功能特點(diǎn)：在Windows平臺(tái)運(yùn)行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng)、在Mac OS X平臺(tái)運(yùn)行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng);最終對(duì)iOS系統(tǒng)相關(guān)文件進(jìn)行竊取回傳。從相關(guān)WireLurker樣本所傳播的環(huán)境涉及到Windows、Mac OSX兩個(gè)桌面系統(tǒng)，涉及到一家第三方APP市場(chǎng)，并最終危害智能終端操作系統(tǒng)iOS的特點(diǎn)來(lái)看，跨越了多個(gè)系統(tǒng)平臺(tái)，利用相關(guān)同步接口，突破了各平臺(tái)間的邊界，所以安天經(jīng)過(guò)討論最終將WireLurker的中文命名定為“破界”。下圖是此惡意代碼的整體傳播與執(zhí)行的示意圖，或許能解釋我們將其中文名命名為“破界”的初衷。

　　“破界”惡意代碼在用戶iOS系統(tǒng)中主要惡意行為：獲取電話、短信、瀏覽器、移動(dòng)儲(chǔ)存掛載、搜索、系統(tǒng)偏好等信息并通過(guò)POST上傳到服務(wù)器，其中通信錄和短信通過(guò)sqlite數(shù)據(jù)庫(kù)獲取，還會(huì)檢測(cè)更新樣惡意代碼版本。

　　因在安天進(jìn)行分析時(shí)，Palo Alto Networks在其美國(guó)公司所在地時(shí)間11月5日發(fā)布針對(duì)蘋(píng)果OS X及iOS系統(tǒng)的惡意代碼新家族的分析大報(bào)告，并將其命名為“WireLurker”。按惡意代碼家族命名中的規(guī)律，以早發(fā)現(xiàn)反病毒廠商命名為準(zhǔn)，所以安天英文命名為：Trojan/iOS.WireLurker。

　　為了使“破界”惡意代碼疫情迅速得到控制，蘋(píng)果已經(jīng)撤銷惡意軟件的安裝證書(shū)，使惡意軟件無(wú)法進(jìn)行安裝操作;且傳播源“麥芽地”網(wǎng)站已經(jīng)于北京時(shí)間2014年11月07日17時(shí)關(guān)閉了蘋(píng)果APP大全的MAC軟件分享功能。

　　某傳播源文件分析
 

　　“麥芽地”傳播源雖告一段落，但百度云ekangwen206用戶分享的247個(gè)文件中全部帶有能夠感染iOS系統(tǒng)的“破界”惡意代碼，所有文件均為蘋(píng)果手機(jī)與平板的安裝應(yīng)用程序，程序類別多樣，包括但不限于文字處理軟件、即時(shí)通訊軟件、游戲軟件、銀行終端軟件等。根據(jù)百度云盤(pán)記錄的下載次數(shù)，將所有應(yīng)用下載次數(shù)進(jìn)行匯總統(tǒng)計(jì)，截止目前共計(jì)下載72527次，其中下載RAR包文件70979次，下載DMG包文件1548次。

　　將下載文件解包后，對(duì)惡意安裝包的時(shí)間戳進(jìn)行統(tǒng)計(jì)，根據(jù)樣本的時(shí)間戳內(nèi)容，這些惡意文件應(yīng)該是使用生成器統(tǒng)一生成，且編譯時(shí)間在2014/3/13(不排除人為修改可能)，那么可推測(cè)這些惡意文件可能是在2014年3月就開(kāi)始傳播了。

　　將下載的文件進(jìn)行分析后發(fā)現(xiàn)RAR包樣本都有共性行為：解包后包含6個(gè)相同的DLL文件，一個(gè)“使用說(shuō)明.txt”文件，一個(gè)與安裝包同名但后綴為.exe的文件。后綴為.exe文件均包含“破界”惡意文件，當(dāng)其運(yùn)行后將惡意文件釋放到TEMP目錄命名為“apps.ipa”，隨后調(diào)用iTunes接口安裝至iOS設(shè)備。后綴為.exe文件中除惡意代碼外還包含正常iOS安裝包，當(dāng)其運(yùn)行后釋放到TEMP目錄命名為“third.ipa”，隨后安裝至iOS設(shè)備。

　　Dmg包中也存在“破界”惡意代碼，其文件名稱更改為“infoplistab”，且其HASH值與“apps.ipa”的HASH值相同。

　　下面為后綴為.exe文件中嵌入的apps.ipa惡意文件“破界”二進(jìn)制對(duì)比圖：

　　下面為后綴為.exe文件中嵌入的名稱為third.ipa的正常文件二進(jìn)制對(duì)比圖：

　　更多報(bào)告細(xì)節(jié)、及“WireLurker”綜合分析報(bào)告全文下載請(qǐng)【點(diǎn)擊這里】