回連的C&C服務器會根據(jù)獲取到的設備信息下發(fā)控制指令,從而完全控制設備�����,可以在受控設備上執(zhí)行打開網(wǎng)頁���、發(fā)送短信�、撥打電話���、打開設備上所安裝的其他APP等操作。由于蘋果應用商店是個相對封閉的生態(tài)系統(tǒng)�����,用戶一般都會充分信任從應用商店下載的APP���,因此此次事件的影響面和危害程度前所未有��,有可能是蘋果有史以來所面臨的最嚴重的安全危機�����。
XcodeGhost失陷手機檢測過程回放
慧眼云可以識別企業(yè)WiFi網(wǎng)絡中所有接入的移動終端設備并記錄其網(wǎng)絡連接行為�����。通過與該惡意URL相關的威脅情報����,就可以檢測出已經(jīng)被感染的移動終端設備,并基于網(wǎng)康的用戶和應用識別能力����,進一步確定被感染用戶及其所使用的APP。
Step 1 通過威脅情報和異常行為分析�����,發(fā)現(xiàn)失陷的手機
Step 2 檢測該手機的威脅活動
Step 3 威脅活動詳情�,可以看到大量到init.icloud-analysis.com的連接
Step 4 確定失陷終端后,基于用戶和應用識別��,準確鎖定用戶和被感染的APP
小結(jié):與大多數(shù)安全廠商從分析被感染的APP入手不同���,網(wǎng)康獨辟蹊徑����,利用慧眼云的威脅情報生成能力,以被感染APP所產(chǎn)生的惡意流量為線索檢測失陷手機���,并借助網(wǎng)康在應用識別(尤其是移動應用識別)方面的技術優(yōu)勢精準鎖定失陷手機中產(chǎn)生惡意流量的APP���。事實再次證明,無論惡意行為如何隱藏����,終究會留下蛛絲馬跡。也許終端無法檢測���,但通過云和大數(shù)據(jù)技術對異常行為做深度關聯(lián)分析�����,隱秘的地下行為終究無可遁形。
