اکسکدگوست
اکسکدگوست (به انگلیسی: XcodeGhost) (و نسخه XcodeGhost S) نسخههای اصلاح شده محیط توسعه نرمافزار اپل یعنی ایکسکد (Xcode) هستند که بدافزار در نظر گرفته میشوند.[۱] این نرمافزار اولین بار در سپتامبر ۲۰۱۵ مورد توجه گسترده قرار گرفت، زمانی که تعدادی از برنامههای تولیدشده در چین کد مخرب را در خود جای دادند.[۲] تصور میشد که این «اولین حمله گسترده به فروشگاه برنامههای اپل» باشد[۳] به نقل از بیبیسی(BBC) این مشکلات ابتدا توسط محققان علیبابا (Alibaba)، یک شرکت تجارت الکترونیک پیشرو در چین شناسایی شد،[۴] طبق چشم آتشین (FireEye)، بیش از ۴۰۰۰ برنامه آلوده شده بودند که بسیار بیشتر از ۲۵ موردی که اپل در ابتدا تأیید کردهاست بود[۵] که شامل برنامههای تولیدشده در خارج از چین نیز میشد.
شرکت امنیتی Palo Alto Networks تصور کرد که از آنجا که سرعت شبکه در چین کندتر است، توسعه دهندگان این کشور به دنبال نسخههای محلی از محیط توسعه ایکسکد اپل (Apple Xcode) میگردند و با نسخههای تغییر یافتهای که در وب سایتهای داخلی قرار داده شده مواجه میشوند. این دریچه ای را برای ورود بدافزار به برنامههای با مشخصات بالا که در دستگاههای آی او اس (iOS) استفاده میشود، باز کرد.[۶][۷]
حتی دو ماه پس از گزارشهای اولیه، شرکت امنیتی چشم آتشین (FireEye) گزارش داد که صدها شرکت هنوز از برنامههای آلوده استفاده میکنند و اکسکودگوست (XcodeGhost) همچنان «یک خطر امنیتی پایدار» است.[۸][۹] این شرکت همچنین نوع جدیدی از بدافزار را شناسایی و آنرا اکسکدگوست اس (XcodeGhost S) لقب دادهاست. از جمله برنامههای آلوده، برنامه پیام رسان معروف ویچت (WeChat) و برنامه موسیقی نتیز ۱۶۳ (Netease Music 163) بودند.[۱۰]
کشف[ویرایش]
در ۱۶ سپتامبر ۲۰۱۵، یک توسعه دهنده چینی iOS در شبکه اجتماعی شخصی خود (Sina Weibo[۱۱]) به این اشاره کردهاست که یک بدافزار در ایکسکد (XCode)، کد شخص ثالث را به برنامههای کامپایل شده با آن تزریق میکند.
محققان مؤسسه علی بابا (Alibaba[۱۲]) اطلاعات دقیق مربوط به بدافزار را منتشر کردهاند و آنرا اکسکودگوست (XcodeGhost) نامیدند.
در ۱۷ سپتامبر ۲۰۱۵، شبکه پالو آلتو (Palo Alto Networks) چندین گزارش در مورد این بدافزار را منتشر کرد.[۱۳][۱۴][۱۵][۱۶]
عملیات[ویرایش]
تبلیغ[ویرایش]
به دلیل سرعت کم بارگیری از سرورهای اپل، توسعه دهندگان iOS چینی ایکسکد (XCode) را از وب سایتهای شخص ثالث مانند بایدا یون (Baidu Yun) (که اکنون Baidu WangPan نامیده میشود)، یک سرویس ذخیرهسازی ابری که توسط بایدو (Baidu) میزبانی میشود، بارگیری میکنند یا از همکاران نسخه میگیرند. مهاجمان با توزیع نسخههای به خطر افتاده در چنین وب سایتهای میزبان پرونده، از این وضعیت استفاده کردند.[۱۷]
بردار حمله[ویرایش]
ریشهها[ویرایش]
مهاجم از حمله درب کامپایلر استفاده کرد. تازگی این حمله تغییر در کامپایلر ایکسکد (XCode) است. با این حال، طبق اسناد منتشر شده توسط ادوارد اسنودن، محققان امنیتی سی آی ای (CIA) از آزمایشگاههای ملی ساندیا (Sandia) ادعا کردند که آنها "یک نسخه اصلاح شده از ابزار توسعه نرم افزار اختصاصی اپل، ایکسکد (XCode)، ایجاد کردهاند که میتواند از پشت درهای نظارت به هر برنامه یا برنامه ای که با استفاده از این ابزار ایجاد میشود، مخفی شود. "[۱۸]
پروندههای اصلاح شده[ویرایش]
نسخههای شناخته شده اکسکودگوست (XcodeGhost) فایلهای اضافی[۱۳] به برنامه اصلی ایکسکد (XCode) اضافه میکنند:
- چارچوب خدمات اصلی در سیستم عاملهای iOS، شبیهساز iOS و سیستم عامل OS X
- چارچوب IDEBundleInjection در سیستم عاملهای iOS، شبیهساز iOS و سیستم عامل OS X اضافه شدهاست
اکسکودگوست (XcodeGhost) همچنین پیوند دهنده را تغییر داده تا فایلهای مخرب[۱۶] به برنامه وارد شده پیوند دهد. این مرحله در گزارش کامپایلر گزارش میشود اما در محیط توسعه یکپارچه ایکسکد ( Xcode IDE ) گزارش نمیشود.
هر دو برنامه iOS و OS X در معرض آسیب اکسکودگوست (XcodeGhost) هستند.
گسترش[ویرایش]
اکسکودگوست (XcodeGhost) لایه سرویسهای هسته (CoreServices) را که شامل ویژگیها و چارچوبهای بسیار استفاده شده توسط برنامه است، به خطر انداخت.[۱۹] وقتی یک توسعه دهنده برنامه خود را با نسخه آسیب دیده برنامه ایکسکد (XCode) کامپایل میکند، سرویسهای هسته (CoreServices) مخرب بهطور خودکار و بدون اطلاع توسعه دهنده در برنامه ادغام میشود.
سپس پروندههای مخرب کد اضافی را در کلاس یوآی ویندو (UIWindow) و کلاس یوآی دیوایس (UIDevice) اضافه میکنند. کلاس یوآی ویندو (UIWindow) «شیئی است که نماهای نمایش داده شده توسط یک برنامه را بر روی صفحه دستگاه مدیریت و هماهنگ میکند».[۲۰]
کلاس یوآی دیوایس (UIDevice) فراهم میکند تک قلو به عنوان مثال به نمایندگی از دستگاه در حال حاضر. از این نمونه مهاجم میتواند اطلاعات مربوط به دستگاه مانند نام اختصاص داده شده، مدل دستگاه و نام و نسخه سیستم عامل را بدست آورد.[۲۱]
رفتار در دستگاههای آلوده[ویرایش]
خطرات امنیتی از راه دور[ویرایش]
اکسکودگوست (XcodeGhost) از طریق دستوراتی که توسط مهاجم از سرور Command و Control از طریق HTTP ارسال میشود میتواند از راه دور کنترل شود. این دادهها با استفاده از الگوریتم DES در حالت ECB رمزگذاری میشوند. این حالت رمزگذاری نه تنها ضعیف شناخته شدهاست، بلکه میتوان با استفاده از مهندسی معکوس کلیدهای رمزگذاری را نیز یافت. یک مهاجم میتواند یک شخص را در حمله وسط اجرا کند و ترافیک جعلی HTTP را به دستگاه منتقل کند (برای باز کردن یک جعبه گفتگو یا باز کردن برنامه خاص به عنوان مثال).
منابع[ویرایش]
- ↑ Dan Goodin (September 21, 2015). "Apple scrambles after 40 malicious "XcodeGhost" apps haunt App Store". Ars Technica. Retrieved 2015-11-05.
- ↑ Joe Rossignol (September 20, 2015). "What You Need to Know About iOS Malware XcodeGhost". macrumors.com. Retrieved 2015-11-05.
- ↑ "Apple's App Store infected with XcodeGhost malware in China". BBC News (به انگلیسی). 2015-09-21. Retrieved 2016-09-22.
- ↑ "Apple's App Store infected with XcodeGhost malware in China". BBC News. 21 September 2015. Retrieved 2015-11-05.
- ↑ https://www.fireeye.com/blog/executive-perspective/2015/09/protecting_our_custo.html
- ↑ Byford, Sam (September 20, 2015). "Apple removes malware-infected App Store apps after major security breach". The Verge. Retrieved 2015-11-05.
- ↑ James Temperton (September 21, 2015). "Apple App Store hack: XcodeGhost attack strikes China (Wired UK)". Wired UK. Retrieved 2015-11-05.
- ↑ Kirk, Jeremy (November 4, 2015). "Many US enterprises still running XcodeGhost-infected Apple apps, FireEye says". InfoWorld. Retrieved 2015-11-05.
- ↑ Ben Lovejoy (November 4, 2015). "A modified version of XcodeGhost remains a threat as compromised apps found in 210 enterprises". 9to5Mac. Retrieved 2015-11-05.
- ↑ Yong Kang; Zhaofeng Chen; Raymond Wei (3 November 2015). "XcodeGhost S: A New Breed Hits the US". FireEye. Retrieved 2015-11-05.
XcodeGhost S: A New Breed Hits the US
- ↑ "First mention of XcodeGhost on SinaWeibo". Sina Weibo. September 17, 2015. Retrieved 2015-11-11.
- ↑ "Xcode编译器里有鬼 – XcodeGhost样本分析-安全漏洞-安全研究-阿里聚安全". jaq.alibaba.com. Archived from the original on 19 April 2016. Retrieved 2015-11-11.
- ↑ ۱۳٫۰ ۱۳٫۱ Claud Xiao (September 17, 2015). "Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
- ↑ Claud Xiao (September 18, 2015). "Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
- ↑ Claud Xiao (September 18, 2015). "Update: XcodeGhost Attacker Can Phish Passwords and Open URLs through Infected Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
- ↑ ۱۶٫۰ ۱۶٫۱ Claud Xiao (September 21, 2015). "More Details on the XcodeGhost Malware and Affected iOS Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
- ↑ Thomas Fox-Brewster (September 18, 2015). "Hackers Sneak Malware Into Apple App Store 'To Steal iCloud Passwords'". Forbes. Retrieved 2015-11-11.
- ↑ Jeremy Scahill; Josh Begley (March 10, 2015). "The CIA Campaign to Steal Apple's Secrets". The Intercept. Retrieved 2015-11-11.
- ↑ "Core Services Layer". developer.apple.com. Retrieved 2015-11-11.
- ↑ "UIWindow Class Reference". developer.apple.com. Retrieved 2015-11-11.
- ↑ "UIDevice Class Reference". developer.apple.com. Retrieved 2015-11-11.