这几天XCodeGhost事件在网上炒得沸沸扬扬，安全圈里被各种小道消息、涉事APP清单、技术调查、样本分析等文章刷屏。

前日，一个名为“XcodeGhost-Author”的ID在微博上发表声明，声称“所谓的‘XcodeGhost’，以前是一次错误的实验，以后只是彻底死亡的代码而已。”

看上去这次事件只是虚惊一场，但事实是否真的就是一次“错误的实验”呢？以下是360给企业客户的一些信息分享和建议。

「XcodeGhost事件简要时间线」

1.      2015年9月14日CNCERT发布了一个安全公告，警告非官方的若干版本的Xcode程序包（苹果系统的软件开发包）被做了恶意的修改被并故意大范围散发诱导使用，经由这个Xcode开发包编译的苹果系统程序会被植入恶意代码。已知有数百个应用程序受影响，包括微信 （6.2.5），滴滴出行（4.0.0），滴滴打车（3.9.7），联通手机营业厅（3.2），高德地图（7.3.8.2037），铁路12306（2.1），同花顺（9.26.03 – 9.26.01）等知名App。这些被特洛伊化的应用会连接外部的控制服务器，导致信息泄露甚至被远程控制。

2.      9月17日国外安全公司Palo Alto Networks的研究员发布一个对相关恶意代码的跟踪报告，确认了问题的存在，明确了更多的技术细节。

3.      9月18日360公司对事件涉案人员做了深入的挖掘，定位到了始作俑者。对恶意代码做了完全的分析，重现了可能的攻击场景。同时开始对苹果系统的应用做全面的评估，发现了数百款已知受影响的应用程序并认定了相应的版本。

4.      9月19日国内的盘古团队开发了一个运行于苹果手机的检测程序用于发现系统中被植入后门代码的应用程序，其中包含了部分360公司所提供的受影响应用程序数据。

「XcodeGhost后门已知的危害」

  受影响的应用程序打开以后，植入的后门代码会不断连接外部的服务器，发送收集的系统信息，包括：时间、应用名称及版本、本地语言、操作系统版本、设备类型、国家码等设备信息，可以用来唯一识别用户设备。

      后门代码可以根据控制端C&C服务器提供的参数构造应用弹框，对用户做提示要求输入信息甚至可能包括iCloud认证信息。

      后门代码可以往用户系统推送应用安装，用户很可能不小心认可程序到手机中，攻击者可以做应用推广获取利益甚至推送全功能远程控制程序，这点已经得到360安全团队的确认并做了演示，是完全可行的。

360企业安全部对XcodeGhost事件的跟踪处理

  在得知事件的第一时间，360企业安全天眼实验室已经立即把相关的威胁情报加入到天眼系统的可机读威胁情报集（IOC）中，目前客户处的天眼系统只要升级威胁情报集就能即时发现受恶意代码影响的系统。

     通过查询360后台的网络基础数据，我们通过恶意域名的解析历史记录，对此次事件的影响面有了一个基本的评估，总解析量超过1亿次！以下是恶意域名解析数近一个月的历史曲线： 

可以看到流量在9月10日至12日之间有个非常大的上涨，很可能与某个重量级的应用受影响并被安装到手机有关。

      通过查询360威胁情报中心，我们发现其中的某个C&C域名早在2015年3月份就已经注册，并绑定了一个位于美国的IP地址。

在随后几个月，攻击者多次变更域名解析地址。

 360威胁情报中心对恶意代码所使用的网络基础设备做了深入的挖掘关联，得到了大量相关的信息，包括关联的域名、注册信息、访问来源等，为最终定位攻击者提供了必要的数据支持，如下是一个相关信息的关联分析图：

  通过查询360威胁情报中心的云端数据，我们还发现被植入到应用程序中的后门所连接的C&C服务器的3个主要域名之一： init.icloud-analysis.com 最早在3月4日就被访问。

这个访问时间早于攻击者在论坛上发贴诱导开发者使用特洛伊化Xcode软件包的3月14日10天之久，而且所访问的URL路径并不是公开的，所以发起此连接的来源极有可能就是攻击者。通过与360公司收集的其他数据源比对，经过大量的分析查证基本确认来源就是攻击者之一。

  通过监测架设了天眼系统的大流量生产实验环境的数据，我们发现近半年来已有大量IP地址访问过XcodeGhost木马的C&C域名服务器：

 说明在现实网络环境中已经有了大量感染情况发生，这些数据绝大多数来自于企业内通过无线共享程序连接到PC上的手机系统。

「对企业防范处理的建议」

对于企业而言，如果内网中有程序可以主动外联黑客的C&C服务器，也就意味着黑客可以很轻松的向内网植入更多地木马，发起下一步的渗透攻击。360企业安全建议企业用户尽快进行以下安全操作，避免威胁进一步扩大：

1.     如果企业中已经部署过天眼未知威胁感知系统，需要将威胁情报集升级到最新，从而能够检测出是否有连接到企业内网的手机系统感染了XcodeGhost，并外联C&C控制服务器。天眼系统能够对企业网络访问的全流量进行记录，利用威胁情报及时发现内网存在的XCodeGhost恶意行为，并能对企业的历史日志进行回溯，还原攻击过程，掌握攻击影响范围，使威胁得到及时地处置。

2.     对于企业内部员工，建议发起对于自己的苹果设备（iPhone或iPad）的自查工作。自查工作可以通过在苹果设备的Safari浏览器当中访问 http://xcode-alarm.360.cn/ 进行。如果自查发现被感染发现有被感染的App，建议员工立即升级App，如没有提供App升级，请员工暂时卸载App等待App开发团队更新版本。如果手机上检测出了被感染的App,建议员工修改自己的 iCloud 密码。

3.     对于提供苹果App软件的企业，如果使用了360天擎，可以更新360天擎最新的特征引擎和特征库之后，针对待发布的苹果手机App安装包（*.ipa）文件进行扫描，确认此安装包是否被 XCodeGhost 感染。支持检出XCodeGhost样本的特征库时间为 2015-09-21。

4.     没有使用360天擎的用户，可以在Windows机器上安装最新版的360杀毒 （http://sd.360.cn），针对待发布的苹果手机App安装包（*.ipa）文件进行扫描，确认此安装包是否被 XCodeGhost 感染。

5.     对于企业使用的 Mac OS X 系统的开发机，安装360 安全卫士Mac版XCode查杀专版（专版安装包将单独提供），并进行全盘扫描，如果报出名为virus.ios.xcodeghost 的威胁，表明此机器上的XCode是被篡改过的XCode。请立即清理、停止使用该版本XCode进行程序版本编译，并从苹果官网下载官方版 XCode 重新编译代码并重新提交App Store审核；建议对企业的公共编译服务器进行重点排查。

6.     为防止威胁扩大，检查并关闭企业内存在的私建WIFI热点。不受控制的私建无线热点可以使攻击者轻易地跨越网络的物理边界进入内部网络，一旦恶意的或受感染的移动设备接入内网，大量的内部信息资源将受到直接威胁。建议可使用360无线安全防御系统-天巡。

7.     对于企业内的官方WIFI热点加强管理和监控。设置强密码，绑定移动终端的IMEI，最好配置访客与员工使用完全隔离的无线网络。使威胁得到及时地处置。

8.     企业网络的边界使用支持威胁情报的防护设备。比如基于威胁情报感知的NGFW，及时导入威胁情报阻断已知的C&C连接并告警，可以非常有效地执行应急响应。