如果“網(wǎng)絡(luò)威脅”是一個(gè)幽靈的話，那么2014年，這個(gè)幽靈就一直在流竄。當(dāng)“心臟出血(Heartbleed)”和“破殼(Shellshock)”把我們的目光剛剛鎖定在類UNIX系統(tǒng)和開(kāi)源領(lǐng)域時(shí)，沙蟲(chóng)(SandWorm)漏洞又讓我們重回Windows戰(zhàn)場(chǎng)。而北京時(shí)間11月6日起，引發(fā)業(yè)內(nèi)關(guān)注的一個(gè)被稱為“WireLurker”新樣本通過(guò)Windows和Mac OS X系統(tǒng)實(shí)現(xiàn)對(duì)iOS系統(tǒng)的侵害。這個(gè)樣本的形態(tài)和特點(diǎn)，無(wú)疑值得關(guān)注和深入分析，鑒于此樣本影響的平臺(tái)非常廣泛，安天組成了由安天CERT(安天安全研究與應(yīng)急處理中心)和AVL TEAM(安天旗下獨(dú)立移動(dòng)安全研究團(tuán)隊(duì))的聯(lián)合分析小組，但在我們同時(shí)研究了此次威脅的先發(fā)廠商Palo Alto Networks的大報(bào)告后，我們發(fā)現(xiàn)其已經(jīng)非常詳盡完備。在當(dāng)年Stuxnet、Flame的分析中，我們意識(shí)到與兄弟廠商之間進(jìn)行馬拉松式的分析競(jìng)賽，一方面會(huì)能提升分析深度和粒度，但同時(shí)也會(huì)造成業(yè)內(nèi)資源的冗余消耗，是一柄雙刃劍。因此我們決定減少此次分析兵力投入。以安天CERT和AVL Team的新分析員為主完成此次分析。雛鷹初飛，如有不足之處， 希望得到批評(píng)指正。也希望大家通讀Palo Alto Networks的報(bào)告《WIRELURKER:A New Era in iOS and OS X Malware》和《WireLurker for Windows》。獲得更系統(tǒng)全面的信息。

該惡意代碼被其發(fā)現(xiàn)者Palo Alto Networks命名為“WireLurker”，直譯其名為“連線潛伏者”。在我們討論中文命名時(shí)，考慮到WireLurker主要擁有如下傳播特點(diǎn)：通過(guò)第三方APP市場(chǎng)“麥芽地”(亦發(fā)現(xiàn)百度網(wǎng)盤(pán)的分享)進(jìn)行下載傳播到iOS系統(tǒng);亦具有如下功能特點(diǎn)：在Windows平臺(tái)運(yùn)行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng)、在Mac OS X平臺(tái)運(yùn)行帶有惡意代碼的包裹文件并將惡意代碼安裝到iOS系統(tǒng);最終對(duì)iOS系統(tǒng)相關(guān)文件進(jìn)行竊取回傳。從相關(guān)WireLurker樣本所傳播的環(huán)境涉及到Windows、Mac OSX兩個(gè)桌面系統(tǒng)，涉及到一家第三方APP市場(chǎng)，并最終危害智能終端操作系統(tǒng)iOS的特點(diǎn)來(lái)看，跨越了多個(gè)系統(tǒng)平臺(tái)，利用相關(guān)同步接口，突破了各平臺(tái)間的邊界，所以安天經(jīng)過(guò)討論最終將WireLurker的中文命名定為“破界”。下圖是此惡意代碼的整體傳播與執(zhí)行的示意圖，或許能解釋我們將其中文名命名為“破界”的初衷。

“破界”惡意代碼在用戶iOS系統(tǒng)中主要惡意行為：獲取電話、短信、瀏覽器、移動(dòng)儲(chǔ)存掛載、搜索、系統(tǒng)偏好等信息并通過(guò)POST上傳到服務(wù)器，其中通信錄和短信通過(guò)sqlite數(shù)據(jù)庫(kù)獲取，還會(huì)檢測(cè)更新樣惡意代碼版本。

因在安天進(jìn)行分析時(shí)，Palo Alto Networks在其美國(guó)公司所在地時(shí)間11月5日發(fā)布針對(duì)蘋(píng)果OS X及iOS系統(tǒng)的惡意代碼新家族的分析大報(bào)告，并將其命名為“WireLurker”。按惡意代碼家族命名中的規(guī)律，以早發(fā)現(xiàn)反病毒廠商命名為準(zhǔn)，所以安天英文命名為：Trojan/iOS.WireLurker。

詳細(xì)報(bào)告請(qǐng)點(diǎn)擊：http://down.51cto.com/data/1898686