回連的C&C服務(wù)器會(huì)根據(jù)獲取到的設(shè)備信息下發(fā)控制指令����,從而完全控制設(shè)備,可以在受控設(shè)備上執(zhí)行打開(kāi)網(wǎng)頁(yè)�、發(fā)送短信、撥打電話(huà)�、打開(kāi)設(shè)備上所安裝的其他APP等操作。由于蘋(píng)果應(yīng)用商店是個(gè)相對(duì)封閉的生態(tài)系統(tǒng)�,用戶(hù)一般都會(huì)充分信任從應(yīng)用商店下載的APP,因此此次事件的影響面和危害程度前所未有��,有可能是蘋(píng)果有史以來(lái)所面臨的最嚴(yán)重的安全危機(jī)�。
XcodeGhost失陷手機(jī)檢測(cè)過(guò)程回放
慧眼云可以識(shí)別企業(yè)WiFi網(wǎng)絡(luò)中所有接入的移動(dòng)終端設(shè)備并記錄其網(wǎng)絡(luò)連接行為。通過(guò)與該惡意URL相關(guān)的威脅情報(bào)�,就可以檢測(cè)出已經(jīng)被感染的移動(dòng)終端設(shè)備,并基于網(wǎng)康的用戶(hù)和應(yīng)用識(shí)別能力�����,進(jìn)一步確定被感染用戶(hù)及其所使用的APP�����。
Step 1 通過(guò)威脅情報(bào)和異常行為分析��,發(fā)現(xiàn)失陷的手機(jī)
Step 2 檢測(cè)該手機(jī)的威脅活動(dòng)
Step 3 威脅活動(dòng)詳情,可以看到大量到init.icloud-analysis.com的連接
Step 4 確定失陷終端后���,基于用戶(hù)和應(yīng)用識(shí)別�,準(zhǔn)確鎖定用戶(hù)和被感染的APP
小結(jié):與大多數(shù)安全廠(chǎng)商從分析被感染的APP入手不同���,網(wǎng)康獨(dú)辟蹊徑���,利用慧眼云的威脅情報(bào)生成能力,以被感染APP所產(chǎn)生的惡意流量為線(xiàn)索檢測(cè)失陷手機(jī)��,并借助網(wǎng)康在應(yīng)用識(shí)別(尤其是移動(dòng)應(yīng)用識(shí)別)方面的技術(shù)優(yōu)勢(shì)精準(zhǔn)鎖定失陷手機(jī)中產(chǎn)生惡意流量的APP�。事實(shí)再次證明,無(wú)論惡意行為如何隱藏����,終究會(huì)留下蛛絲馬跡。也許終端無(wú)法檢測(cè)��,但通過(guò)云和大數(shù)據(jù)技術(shù)對(duì)異常行為做深度關(guān)聯(lián)分析����,隱秘的地下行為終究無(wú)可遁形。
