网康慧眼云发现企业网络中的XcodeGhost失陷手机

9月14日,国家互联网应急中心CNCERT发布预警通告,目前最流行的苹果应用程序编译器XCODE被植入了恶意代码(XcodeGhost)。开发者使用非苹果公司官方渠道的XCODE工具开发苹果APP时,就有可能向该APP中植入恶意代码。由于XCODE的广泛应用,预计将会有超过一亿部iOS移动终端受到影响。

XcodeGhost是如何控制上亿部iOS设备的

用户在iOS设备上安装了被感染的APP后,设备在接入互联网时APP会回连恶意URL地址init.icloud-analysis.com,并向该URL上传敏感信息(如设备型号、iOS 版本):

回连的C&C服务器会根据获取到的设备信息下发控制指令,从而完全控制设备,可以在受控设备上执行打开网页、发送短信、拨打电话、打开设备上所安装的其他APP等操作。由于苹果应用商店是个相对封闭的生态系统,用户一般都会充分信任从应用商店下载的APP,因此此次事件的影响面和危害程度前所未有,有可能是苹果有史以来所面临的最严重的安全危机。

XcodeGhost失陷手机检测过程回放

慧眼云可以识别企业WiFi网络中所有接入的移动终端设备并记录其网络连接行为。通过与该恶意URL相关的威胁情报,就可以检测出已经被感染的移动终端设备,并基于网康的用户和应用识别能力,进一步确定被感染用户及其所使用的APP。

Step 1 通过威胁情报和异常行为分析,发现失陷的手机

Step 2 检测该手机的威胁活动

Step 3 威胁活动详情,可以看到大量到init.icloud-analysis.com的连接

Step 4 确定失陷终端后,基于用户和应用识别,准确锁定用户和被感染的APP

小结:与大多数安全厂商从分析被感染的APP入手不同,网康独辟蹊径,利用慧眼云的威胁情报生成能力,以被感染APP所产生的恶意流量为线索检测失陷手机,并借助网康在应用识别(尤其是移动应用识别)方面的技术优势精准锁定失陷手机中产生恶意流量的APP。事实再次证明,无论恶意行为如何隐藏,终究会留下蛛丝马迹。也许终端无法检测,但通过云和大数据技术对异常行为做深度关联分析,隐秘的地下行为终究无可遁形。

原文发布时间为:2015-09-25

时间: 2017-09-01

网康慧眼云发现企业网络中的XcodeGhost失陷手机的相关文章

网康科技云管端 下一代网络安全架构的“抛砖引玉”

本文讲的是 网康科技云管端 下一代网络安全架构的"抛砖引玉",传统的网络安全防护体系主要基于以下2个核心模型:网络边界安全模型和P2DR防御模型. 网络边界安全模型 将网络根据不同业务的需求划分成不同安全级别的安全域,认为与外部网络环境物理隔离的内网是绝对安全的,并通过在网络出口部署防火墙.网关.IPS以及ACL技术来实现. P2DR防御模型 P2DR是以预设策略为核心的匹配防御模型,包括策略(Policy).防护(Protection).检测(Detection)和响应(Respon

企业网络中最具影响力的10家公司

在企业网络的每一个环节中,从纵向到核心,无论各种垂直的还是各种规模的业务,都不乏厂商竞争.但也有少数厂商在激烈的市场竞争中脱颖而出,跻身行业10强. 这是网络世界对行业最强大的企业网络公司的理解,调研机构基于自己的研究,与值得信赖的行业分析师进行沟通和交流,认为主要厂商的认定还是看其在企业网络市场的关键领域的市场份额,特别是核心网络,监控和管理,WLAN和边缘计算,当然也考虑了这些厂商的技术基础和重要的市场因素. 1.思科公司 思科公司一直是全球领先的网络解决方案供应商,该公司能够为用户的网络提

网娱智信论企业网络营销的十项基本策略

问题描述 在实践导向的互联网营销研究中,目前主要集中于操作层面,也就是对网络营销方法研究相对比较成熟.网络营销方法是网络营销策略得以实现的基本手段,网娱智信能提供的网络营销方式有搜索引擎营销.论坛营销.博客营销.SNS营销.圈子营销.其他类型媒体营销.精准信息回复.事件营销&病毒营销等,网络营销策略则从较高层次上集成了网络营销方法的价值,因此在对网络营销方法研究相对成熟的基础上,才有可能对网络营销策略层面进行一定的研究.网娱智信是网络营销业务的积极实践者,我们深刻理解互联网营销,通过精准有效的互

OSPF路由协议在企业网络中的应用

现在的企业网络搭建中经常会用到OSPF,在此对该协议做一些阐述. ospf 称为开放最短路径优先协议,所有设备厂商都支持的一种协议属于链路状态路由协议,适用于大型园区企业网络当中. OSPF具有很多优点,1.采用触发更新路由,只要网络拓扑结构一旦发生变化,立即会触发更新路由表.2.根据链路状态来发送一些路由.3.采用组播发送路由协议.共有两个可用的组播ip地址224.0.0.5.224.0.0.6.5.适用的网络规模很大,几乎没有规模的限制6.metric cost.7.收敛速度比较快,而且不会

SNMP在园区企业网络中的应用

SNMP简介 目前网络中用得最广泛的网络管理协议是SNMP(Simple Network Management Protocol,简单网络管理协议).SNMP是被广泛接受并投入使用的工业标准,用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息.修改信息.定位故障.完成故障诊断.进行容量规划和生成报告. SNMP采用轮询机制,只提供最基本的功能集,特别适合在小型.快速和低价格的环境中使用.SNMP的实现基于无连接的传输层协议UDP,因此可以实现和众多产品的无障碍连接.

中国硕网助推云服务器企业进取是王道

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 [文章摘要]云主机,自2011年火热崛起之后,成为IDC行业替代VPS的完美系列,它的成功在于其相对于VPS的压倒性优势;而平台云凭借其的便捷的操作.实时监控和可视化服务,让站长们更加便捷的享受云福利,已然成为行业的新星! 目前,云计算作为继个人PC和互联网以后的第三次IT产业革命,其发展前景吸引了诸多政府.企业进入这个市场,互联网上遍布了"云计算"."云概念". 据最新发布的<中国云计算产业发展白皮书&

优化混合云的企业网络设计

随着企业将更多的工作负载迁移到公共云中,出现了新的网络瓶颈.诸如VPN之类的选项,可以帮助获得来自云计算提供商和互联网交换点的直接连接. 公共云和混合云的采用对于企业网络设计具有重大的影响,因此出现了新的瓶颈,一些企业需要改变他们的网络配置,特别是那些用于广域网的网络配置,以确保他们获得所需的性能. 尤其是采用混合云和公共云,网络重点转移到广域网(WAN)连接.企业需要将其数据中心链接到其公共云提供商的网站,并且通常依靠他们现有的互联网线路来完成.但这种方法也有缺点. 首先,带宽是一个问题.用于

企业网络中如何配置静态IP,并能相互访问

问题描述 各位高手.请帮帮忙了,我现在对实践操作还不是很熟练,就是我们公司现在IP地址是由DHCP服务器自动分配的.但为了便于好管理,我想把它全部设为静态IP,具体怎么弄,而且过后办公室与办公室之间的计算机能相互访问(因之前不能相互访问,也不知道是怎么回事).拜托大家了,谢谢! 解决方案 解决方案二:全部设置在一个子网段内,即可.比如,都设置为172.16.2.1到172.16.2.100之间.子网掩码可填255.255.255.0

网康红盾称重 以曹冲称象策略审视安全

本文讲的是 :  网康红盾称重 以曹冲称象策略审视安全  , [IT168 评论]网络安全问题是一个"曹冲称象"式的难题,之所以这样讲是因为传统的安全运维人员都希望窥一斑而见全貌,希望通过单一的安全防护手段一劳永逸的解决安全问题,然而隐藏在地下产业的未知威胁已经远远超过了从业者的想象,是时候用新的方法论来重新审视当前的安全形势了. "在过往的十年至二十年中,黑客是没有明确目标的机会主义者,而当今的网络攻击已经发生了根本的变化.来自外界的威胁是集团化的冲锋.国内外广泛存在的黑色