走近強(qiáng)大的間諜軟件XAgent與MadCap

責(zé)任編輯:editor04

2015-02-07 23:05:36

摘自:51CTO

趨勢科技的安全專家在調(diào)查一起網(wǎng)絡(luò)間諜活動(dòng)時(shí),發(fā)現(xiàn)了一款特別的iOS設(shè)備間諜程序。安全研究人員發(fā)現(xiàn),該間諜活動(dòng)主要使用了兩款惡意程序:一個(gè)叫做XAgent,另一個(gè)叫做MadCap(與一款iOS游戲重名)。

趨勢科技的安全專家在調(diào)查一起網(wǎng)絡(luò)間諜活動(dòng)時(shí),發(fā)現(xiàn)了一款特別的iOS設(shè)備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是,這種惡意軟件仍然無法在未經(jīng)用戶允許的情況下安裝。

走近強(qiáng)大的間諜軟件XAgent與MadCap

間諜活動(dòng)背景

Operation Pawn Storm是一起有關(guān)經(jīng)濟(jì)、政治的網(wǎng)絡(luò)間諜活動(dòng),主要目標(biāo)是各國的軍事、政府和媒體。這一活動(dòng)從2007年就開始,一直活躍至今。

安全研究人員發(fā)現(xiàn),該間諜活動(dòng)主要使用了兩款惡意程序:一個(gè)叫做XAgent,另一個(gè)叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數(shù)據(jù)、音頻、截圖等,然后將竊取到的數(shù)據(jù)傳輸?shù)竭h(yuǎn)程C&C(命令與控制)服務(wù)器上。

全面剖析XAgent

XAgent是一個(gè)功能強(qiáng)大的間諜程序。成功安裝在iOS 7上之后,就會(huì)隱藏了圖標(biāo),然后默默的在后臺(tái)運(yùn)行。當(dāng)我們?cè)噲D阻止其進(jìn)程時(shí),它會(huì)立即重新啟動(dòng)。但奇怪的是,XAgent在iOS 8 上卻不會(huì)隱藏圖標(biāo),也不會(huì)自動(dòng)的重新啟動(dòng)。難道是XAgent的開發(fā)時(shí)間早于iOS 8?

數(shù)據(jù)竊取能力

攻擊者開發(fā)該程序的目的是搜集iOS移動(dòng)設(shè)備上的所有信息,包括:

1. 文本信息

2. 聯(lián)系人列表

3. 圖片

4. 地理位置數(shù)據(jù)

5. 音頻數(shù)據(jù)

6. 安裝的應(yīng)用程序列表

7. 進(jìn)程列表

8. Wi-Fi狀態(tài)

走近強(qiáng)大的間諜軟件XAgent與MadCap

圖1

C&C通信

除了搜集信息外,它還會(huì)通過HTTP向外發(fā)送信息。

格式化的日志信息

該惡意程序的日志以HTML形式書寫,并且還有顏色標(biāo)識(shí)。錯(cuò)誤的信息會(huì)顯示紅色,正確的信息會(huì)顯示綠色。

圖2

設(shè)計(jì)良好的代碼結(jié)構(gòu)

代碼結(jié)構(gòu)也是經(jīng)過精心設(shè)計(jì)的,黑客們小心翼翼的維護(hù)著,并不斷的更新。如下圖:

走近強(qiáng)大的間諜軟件XAgent與MadCap

圖3

XAgent經(jīng)常使用watch, search, find, results, open, close命令。

圖4

隨機(jī)生成URI

XAgent會(huì)根據(jù)C&C服務(wù)器模板隨機(jī)生成URI(統(tǒng)一資源標(biāo)識(shí)符)。

基本的URI如圖4,程序會(huì)從圖5所示的列表中選擇參數(shù)拼接到基本URI中。

圖5

下面是實(shí)現(xiàn)結(jié)果:

圖6

圖7

令牌(token)格式與編碼

XAgent間諜程序會(huì)使用特定的令牌識(shí)別哪一個(gè)模塊正在進(jìn)行通信。該令牌使用Base64編碼數(shù)據(jù),但是要隨意添加一個(gè)5字節(jié)的前綴,這樣才看著像是一個(gè)有效的Base64數(shù)據(jù)。詳見下圖中第一行代碼的“ai=”部分。

圖8

通過逆向工程的話,我們還會(huì)發(fā)現(xiàn)XAgent的一些其他的通信功能。

走近強(qiáng)大的間諜軟件XAgent與MadCap

圖10

FTP通信

該應(yīng)用程序還可通過FTP協(xié)議上傳文件。

走近強(qiáng)大的間諜軟件XAgent與MadCap

圖11

剖析MadCap

MadCap和XAgent很相似,但是MadCap只能安裝在越獄后的蘋果設(shè)備上,對(duì)非越獄設(shè)備不起任何作用。

走近強(qiáng)大的間諜軟件XAgent與MadCap

圖12

感染方式

目前為止,我們可以確定的iOS設(shè)備無須越獄也會(huì)感染惡意程序XAgent。

我們已經(jīng)發(fā)現(xiàn)了一個(gè)真實(shí)案例:用戶設(shè)備上會(huì)出現(xiàn)一個(gè)“點(diǎn)擊此處安裝應(yīng)用程序”的誘惑鏈接,地址為:https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點(diǎn)擊圖片中的鏈接就中招了,

惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業(yè)和開發(fā)者部署應(yīng)用而設(shè)置的,它允許軟件安裝繞過App Store。

圖13

安全建議

即使你使用的是未越獄的iPhone或iPad,現(xiàn)在,你也要多留個(gè)心眼了——不要點(diǎn)擊任何可疑鏈接。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)