如果“網(wǎng)絡威脅”是一個幽靈的話，那么2014年，這個幽靈就一直在流竄。當“心臟出血(Heartbleed)”和“破殼(Shellshock)”把我們的目光剛剛鎖定在類UNIX系統(tǒng)和開源領(lǐng)域時，沙蟲(SandWorm)漏洞又讓我們重回Windows戰(zhàn)場。而北京時間11月6日起，引發(fā)業(yè)內(nèi)關(guān)注的一個被稱為“WireLurker”新樣本通過Windows和Mac OS X系統(tǒng)實現(xiàn)對iOS系統(tǒng)的侵害。這個樣本的形態(tài)和特點，無疑值得關(guān)注和深入分析，鑒于此樣本影響的平臺非常廣泛，安天組成了由安天CERT(安天安全研究與應急處理中心)和AVL TEAM(安天旗下獨立移動安全研究團隊)的聯(lián)合分析小組，但在我們同時研究了此次威脅的先發(fā)廠商Palo Alto Networks的大報告后，我們發(fā)現(xiàn)其已經(jīng)非常詳盡完備。在當年Stuxnet、Flame的分析中，我們意識到與兄弟廠商之間進行馬拉松式的分析競賽，一方面會能提升分析深度和粒度，但同時也會造成業(yè)內(nèi)資源的冗余消耗，是一柄雙刃劍。因此我們決定減少此次分析兵力投入。以安天CERT和AVL Team的新分析員為主完成此次分析。雛鷹初飛，如有不足之處， 希望得到批評指正。也希望大家通讀Palo Alto Networks的報告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。獲得更系統(tǒng)全面的信息。

　　同時令我們非常開心的是，Palo Alto Networks相關(guān)報告的主筆亦曾是安天CERT曾經(jīng)的小伙伴Claud Xiao。盡管遠隔重洋，但我們依然面對同樣的安全威脅而戰(zhàn)斗。

　　海上出明月，應急響應時?；锇楦艉Ｍ?，不覺起相思。

　　中文命名與概述

　　該惡意代碼被其發(fā)現(xiàn)者Palo Alto Networks命名為“WireLurker”，直譯其名為“連線潛伏者”。在我們討論中文命名時，考慮到WireLurker主要擁有如下傳播特點：通過第三方APP市場“麥芽地”(亦發(fā)現(xiàn)百度網(wǎng)盤的分享)進行下載傳播到iOS系統(tǒng);亦具有如下功能特點：在Windows平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng)、在Mac OS X平臺運行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng);最終對iOS系統(tǒng)相關(guān)文件進行竊取回傳。從相關(guān)WireLurker樣本所傳播的環(huán)境涉及到Windows、Mac OSX兩個桌面系統(tǒng)，涉及到一家第三方APP市場，并最終危害智能終端操作系統(tǒng)iOS的特點來看，跨越了多個系統(tǒng)平臺，利用相關(guān)同步接口，突破了各平臺間的邊界，所以安天經(jīng)過討論最終將WireLurker的中文命名定為“破界”。下圖是此惡意代碼的整體傳播與執(zhí)行的示意圖，或許能解釋我們將其中文名命名為“破界”的初衷。

　　“破界”惡意代碼在用戶iOS系統(tǒng)中主要惡意行為：獲取電話、短信、瀏覽器、移動儲存掛載、搜索、系統(tǒng)偏好等信息并通過POST上傳到服務器，其中通信錄和短信通過sqlite數(shù)據(jù)庫獲取，還會檢測更新樣惡意代碼版本。

　　因在安天進行分析時，Palo Alto Networks在其美國公司所在地時間11月5日發(fā)布針對蘋果OS X及iOS系統(tǒng)的惡意代碼新家族的分析大報告，并將其命名為“WireLurker”。按惡意代碼家族命名中的規(guī)律，以早發(fā)現(xiàn)反病毒廠商命名為準，所以安天英文命名為：Trojan/iOS.WireLurker。

　　為了使“破界”惡意代碼疫情迅速得到控制，蘋果已經(jīng)撤銷惡意軟件的安裝證書，使惡意軟件無法進行安裝操作;且傳播源“麥芽地”網(wǎng)站已經(jīng)于北京時間2014年11月07日17時關(guān)閉了蘋果APP大全的MAC軟件分享功能。

　　某傳播源文件分析
 

　　“麥芽地”傳播源雖告一段落，但百度云ekangwen206用戶分享的247個文件中全部帶有能夠感染iOS系統(tǒng)的“破界”惡意代碼，所有文件均為蘋果手機與平板的安裝應用程序，程序類別多樣，包括但不限于文字處理軟件、即時通訊軟件、游戲軟件、銀行終端軟件等。根據(jù)百度云盤記錄的下載次數(shù)，將所有應用下載次數(shù)進行匯總統(tǒng)計，截止目前共計下載72527次，其中下載RAR包文件70979次，下載DMG包文件1548次。

　　將下載文件解包后，對惡意安裝包的時間戳進行統(tǒng)計，根據(jù)樣本的時間戳內(nèi)容，這些惡意文件應該是使用生成器統(tǒng)一生成，且編譯時間在2014/3/13(不排除人為修改可能)，那么可推測這些惡意文件可能是在2014年3月就開始傳播了。

　　將下載的文件進行分析后發(fā)現(xiàn)RAR包樣本都有共性行為：解包后包含6個相同的DLL文件，一個“使用說明.txt”文件，一個與安裝包同名但后綴為.exe的文件。后綴為.exe文件均包含“破界”惡意文件，當其運行后將惡意文件釋放到TEMP目錄命名為“apps.ipa”，隨后調(diào)用iTunes接口安裝至iOS設(shè)備。后綴為.exe文件中除惡意代碼外還包含正常iOS安裝包，當其運行后釋放到TEMP目錄命名為“third.ipa”，隨后安裝至iOS設(shè)備。

　　Dmg包中也存在“破界”惡意代碼，其文件名稱更改為“infoplistab”，且其HASH值與“apps.ipa”的HASH值相同。

　　下面為后綴為.exe文件中嵌入的apps.ipa惡意文件“破界”二進制對比圖：

　　下面為后綴為.exe文件中嵌入的名稱為third.ipa的正常文件二進制對比圖：

　　更多報告細節(jié)、及“WireLurker”綜合分析報告全文下載請【點擊這里】