回連的C&C服務器會根據獲取到的設備信息下發(fā)控制指令�,從而完全控制設備,可以在受控設備上執(zhí)行打開網頁�����、發(fā)送短信�、撥打電話、打開設備上所安裝的其他APP等操作。由于蘋果應用商店是個相對封閉的生態(tài)系統�����,用戶一般都會充分信任從應用商店下載的APP�����,因此此次事件的影響面和危害程度前所未有���,有可能是蘋果有史以來所面臨的最嚴重的安全危機��。
XcodeGhost失陷手機檢測過程回放
慧眼云可以識別企業(yè)WiFi網絡中所有接入的移動終端設備并記錄其網絡連接行為�����。通過與該惡意URL相關的威脅情報�����,就可以檢測出已經被感染的移動終端設備�����,并基于網康的用戶和應用識別能力,進一步確定被感染用戶及其所使用的APP。
Step 1 通過威脅情報和異常行為分析����,發(fā)現失陷的手機
Step 2 檢測該手機的威脅活動
Step 3 威脅活動詳情,可以看到大量到init.icloud-analysis.com的連接
Step 4 確定失陷終端后�����,基于用戶和應用識別��,準確鎖定用戶和被感染的APP
小結:與大多數安全廠商從分析被感染的APP入手不同��,網康獨辟蹊徑�,利用慧眼云的威脅情報生成能力,以被感染APP所產生的惡意流量為線索檢測失陷手機��,并借助網康在應用識別(尤其是移動應用識別)方面的技術優(yōu)勢精準鎖定失陷手機中產生惡意流量的APP����。事實再次證明,無論惡意行為如何隱藏���,終究會留下蛛絲馬跡�����。也許終端無法檢測�,但通過云和大數據技術對異常行為做深度關聯分析,隱秘的地下行為終究無可遁形��。
