【前言】
这几天安全圈几乎被XCodeGhost变乱刷屏,各人都非常关注,各安全团队都很给力,纷纷从不同角度剖析了病毒行动、传播方法、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的剖析讲演后,咱们认为,这还不是全部,以是咱们来补充下完整的XCodeGhost变乱。
由于行文仓促,难免有诸多错漏之处,还望同行批评指正。
【变乱溯源】
事情要追溯到一周前。
9月12日,咱们在跟进一个bug时发明有APP在启动、退出时会经由网络向某个域名发送异常的加密流量,行动非常可疑,于是终端安全团队即时跟进,经由一个周末加班加点的剖析和追查,咱们基本还原了沾染方法、病毒行动、影响面。
9月13日,产品团队宣布了新版本。同时考虑到变乱影响面比较广,咱们即时知会了CNCERT,CNCERT也马上采取了相干措施。以是从这个时间点开始,后续的大部分安全风险都得到了把持——能够看看这个时间点前后非法域名在全国的解析情况。
9月14日,CNCERT宣布了这个变乱的预警布告。咱们也更新了挪动APP安全检测体系“金刚”。
![]( "encodeURIComponent(document.title);")
=3){
return false;
}
pic += (pic?'||':'') + encodeURIComponent(a.src);
});
summary = encodeURIComponent(summary.innerText.replace(/\r|\n|\t/g,'').replace(/ +/g,' ').replace(//g,'').substr(0,80));
}
var single_img ='http://pic.xiupu.net/2020/12/57.jpg';
pic = pic.replace(single_img+'||','');
pic = pic.replace(single_img,'');
pic = single_img+(pic?'||':'')+pic;
var link =typeof settings.link!='undefined'?settings.link:'';
if(!link||link.length<=0){return;}
if(!/summary/.test(link) && summary) {
title = title + ': ' + summary + '.. ';
}
link = link.replace("{url}",url).replace("{title}",title).replace("{summary}",summary).replace("{img}",pic);
var iWidth=typeof settings.width!='undefined'?settings.width: 450;
var iHeight=typeof settings.height!='undefined'?settings.height: 450;
var iTop = (window.screen.height-30-iHeight)/2; //获得窗口的垂直位置;
var iLeft = (window.screen.width-10-iWidth)/2; //获得窗口的水平位置;
window.open(link, 'share', 'height='+iHeight+',innerHeight='+iHeight+',width='+iWidth+',innerWidth='+iWidth+',top='+iTop+',left='+iLeft+',menubar=0,scrollbars=1,resizable=1,status=1,titlebar=0,toolbar=0,location=1');
}
}
赞赏
微信赞赏
支付宝赞赏
鲁公网安备 37011302000391号