日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
走近強(qiáng)大的間諜軟件XAgent與MadCap

趨勢科技的安全專家在調(diào)查一起網(wǎng)絡(luò)間諜活動時,發(fā)現(xiàn)了一款特別的iOS設(shè)備間諜程序。它可以竊取未越獄iOS用戶的照片、短信、聯(lián)系人列表和其他數(shù)據(jù)。但值得注意的是,這種惡意軟件仍然無法在未經(jīng)用戶允許的情況下安裝。

創(chuàng)新互聯(lián)專注于貴陽網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供貴陽營銷型網(wǎng)站建設(shè),貴陽網(wǎng)站制作、貴陽網(wǎng)頁設(shè)計(jì)、貴陽網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù),打造貴陽網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供貴陽網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

[[127495]]

間諜活動背景

Operation Pawn Storm是一起有關(guān)經(jīng)濟(jì)、政治的網(wǎng)絡(luò)間諜活動,主要目標(biāo)是各國的軍事、政府和媒體。這一活動從2007年就開始,一直活躍至今。

安全研究人員發(fā)現(xiàn),該間諜活動主要使用了兩款惡意程序:一個叫做XAgent,另一個叫做MadCap(與一款iOS游戲重名)。這些惡意間諜軟件主要用于竊取iOS用戶的私人數(shù)據(jù)、音頻、截圖等,然后將竊取到的數(shù)據(jù)傳輸?shù)竭h(yuǎn)程C&C(命令與控制)服務(wù)器上。

全面剖析XAgent

XAgent是一個功能強(qiáng)大的間諜程序。成功安裝在iOS 7上之后,就會隱藏了圖標(biāo),然后默默的在后臺運(yùn)行。當(dāng)我們試圖阻止其進(jìn)程時,它會立即重新啟動。但奇怪的是,XAgent在iOS 8 上卻不會隱藏圖標(biāo),也不會自動的重新啟動。難道是XAgent的開發(fā)時間早于iOS 8?

數(shù)據(jù)竊取能力

攻擊者開發(fā)該程序的目的是搜集iOS移動設(shè)備上的所有信息,包括:

1. 文本信息

2. 聯(lián)系人列表

3. 圖片

4. 地理位置數(shù)據(jù)

5. 音頻數(shù)據(jù)

6. 安裝的應(yīng)用程序列表

7. 進(jìn)程列表

8. Wi-Fi狀態(tài)

圖1

C&C通信

除了搜集信息外,它還會通過HTTP向外發(fā)送信息。

格式化的日志信息

該惡意程序的日志以HTML形式書寫,并且還有顏色標(biāo)識。錯誤的信息會顯示紅色,正確的信息會顯示綠色。

圖2

設(shè)計(jì)良好的代碼結(jié)構(gòu)

代碼結(jié)構(gòu)也是經(jīng)過精心設(shè)計(jì)的,黑客們小心翼翼的維護(hù)著,并不斷的更新。如下圖:

圖3

XAgent經(jīng)常使用watch, search, find, results, open, close命令。

圖4

隨機(jī)生成URI

XAgent會根據(jù)C&C服務(wù)器模板隨機(jī)生成URI(統(tǒng)一資源標(biāo)識符)。

基本的URI如圖4,程序會從圖5所示的列表中選擇參數(shù)拼接到基本URI中。

圖5

下面是實(shí)現(xiàn)結(jié)果:

圖6

圖7

令牌(token)格式與編碼

XAgent間諜程序會使用特定的令牌識別哪一個模塊正在進(jìn)行通信。該令牌使用Base64編碼數(shù)據(jù),但是要隨意添加一個5字節(jié)的前綴,這樣才看著像是一個有效的Base64數(shù)據(jù)。詳見下圖中第一行代碼的“ai=”部分。

圖8

通過逆向工程的話,我們還會發(fā)現(xiàn)XAgent的一些其他的通信功能。

圖10

FTP通信

該應(yīng)用程序還可通過FTP協(xié)議上傳文件。

圖11

剖析MadCap

MadCap和XAgent很相似,但是MadCap只能安裝在越獄后的蘋果設(shè)備上,對非越獄設(shè)備不起任何作用。

圖12

感染方式

目前為止,我們可以確定的iOS設(shè)備無須越獄也會感染惡意程序XAgent。

我們已經(jīng)發(fā)現(xiàn)了一個真實(shí)案例:用戶設(shè)備上會出現(xiàn)一個“點(diǎn)擊此處安裝應(yīng)用程序”的誘惑鏈接,地址為:https://www.{BLOCKED}/adhoc/XAgent.plist。受害者只需簡單的點(diǎn)擊圖片中的鏈接就中招了,

惡意程序程序通過蘋果的“特別通道”傳播——該通道原本是便于企業(yè)和開發(fā)者部署應(yīng)用而設(shè)置的,它允許軟件安裝繞過App Store。

圖13

安全建議

即使你使用的是未越獄的iPhone或iPad,現(xiàn)在,你也要多留個心眼了——不要點(diǎn)擊任何可疑鏈接。


分享文章:走近強(qiáng)大的間諜軟件XAgent與MadCap
轉(zhuǎn)載來于:http://m.5511xx.com/article/djshpcg.html