国产苹果恶意软件XcodeGhost阴魂不散，新变种感染大量欧美企业

自由邦是苹果App Store中发现的第一例被XcodeGhost变种感染的应用

安全公司FireEye近日的调查显示，一个月前震惊中外，危及全球iPhone用户隐私和数据安全的苹果恶意开发软件XcodeGhost并未偃旗息鼓，相反出现了更加高级和隐蔽的新变种。FireEye的最新调查主要有三点发现：

1.XcodeGhost已经感染了大量美国用户（企业）

2.XcodeGhost的命令控制服务器依然有漏洞可被利用，僵尸网络也处于活跃状态

3.出现了新变种XcodeGhost S，可攻击iOS9，并可躲避静态安全检查工具

在对XcodeGhost持续追踪监测四周后，FireEye的安全研究人员观察到210家企业的内部网络中有人员运行被XcodeGhost感染的应用，并向XcodeGhost命令控制服务器发起超过2.8万次连接请求，该命令控制服务器虽然已经不再攻击者控制之下，但是依然可能被攻击者劫持利用。

以下是XcodeGhost命令服务器连接请求发起数量最多的五个国家，可以看到，居然排在前三名的是德国、美国和法国，中国没有数据（编者按：可能未在统计样本之列）。

以下是XcodeGhost感染数量最多的五个行业，教育、科技行业是重灾区（基于前文提到的210个统计样本），从中也可以看到教育网络的安全是个全球性的老大难问题。

虽然XcodeGhost的命令控制服务器已经不再受攻击者控制，事实上大多数企业安全管理人员都把这个服务器屏蔽了，但这并不意味着警报解除，FireEye的研究人员发现向XcodeGhost命令服务器发起请求的流量依然可以被劫持用来：

分发非官方应用商店的APP

强制URL跳转（倒腾流量或分发恶意软件）

通过弹App Store产品下载页面来强推App Store中的任意一款应用

弹出钓鱼窗口

下面这个图表统计了152个受XcodeGhost感染的APP活跃度排名（TOP20）最活跃的，数据来自FireEye的DTI云：

可以看到虽然网易和腾讯都更新了“干净”版本APP，但是依然有着大量被感染应用没有被卸载或更新并处于活跃状态。以下为网易云音乐和微信被感染版本及其活跃度（下图）

XcodeGhost感染应用的iOS版本分布，可以看出FireEye的样本中居然有65%的用户没有升级到最新的iOS9，FireEye建议处于安全起见iOS用户应当尽快升级：

最后，FireEye的最惊人的发现是XcodeGhost不但死而不僵，而且还在App Store的一款名为“自由邦”的应用中发现了XcodeGhost的新变种——XcodeGhost S。虽然苹果已经快速将该应用下架，但是新变种已经展现了自己的生存能力。

FireEye认为新变种在技术上又有提升，可以适应并攻击iOS9（包括面向iOS9开发的Xcode7）。这表现为XcodeGhost S可以绕开HTTPS与命令控制服务器直接联系，并且采用了字符组装的方式替代过去命令控制服务器的URL硬编码，这使得过去通过DNS请求检测和封锁XcodeGhost的基本方法失效。

可以绕过HTTPS意味着苹果公司在XcodeGhost爆发后曾在iOS9中强制实施的NSApp TransportSecurity安全方案失效，该方案仅允许APP与服务器之间通过HTTPS安全连接通讯，这导致此前的旧版XcodeGhost无法与命令服务器（通过http）联系，但是XcodeGhost S显然发现了新的突破口：苹果为开发者留下的“后门”——通过修改Info.plist修改NSAllowsArbitraryLoads可以添加http例外地址。（下图）

最后FireEye建议企业信息技术部门尽快采取措施督促员工尽快卸载或更新受感染的APP。