覆巢之下豈有完卵

　　XcodeGhost事件經過一周時間發酵，危害性逐漸顯現：據報道，被感染移動應用數量已經超過800款，其中包括數十款下載排行榜中前500的APP。可以斷定，XcodeGhost事件已經成為自2008年APP Store上線以來很嚴重的安全事件。

　　盡管XcodeGhost連接服務器的相關域名已經不可訪問，木馬的始作俑者也已經公開露面，被但隨著源代碼及大量技術信息的披露，已經植入在用戶iOS設備中的XcodeGhost已經開始被越來越多的黑客用于違法目的。在繁冗復雜案例中，我們剝離出如下攻擊邏輯：

　　1. 黑客通過DNS劫持或其他方式，將XcodeGhost與init.icloud-analysis.com、init.icloud-diagnostics.com的連接請求重定向到自己搭建的C&C服務器;

　　2. C&C服務器利用被感染的應用彈出釣魚彈窗，偽裝iCloud身份驗證，要求輸入密碼;

　　3. 用戶輸入的密碼會被立即發送至黑客的C&C服務器中，iCloud賬號竊取完成;

　　4. 黑客通過“查找我的iPhone”功能鎖定設備，并留下聯系方式進行金錢勒索，或者干脆把iCloud賬戶余額買光。

　　5. 但更可怕的是，在水面以下，更兇惡的高級威脅正在貪婪的吸收著這些“寶貴”的信息，比如你在iCloud上的通訊錄。

　　目前為止，在iOS終端上，除非用戶卸載被感染應用或等待其升級，普通用戶沒有任何其他手段來徹底解決此安全威脅。

最后的安全屋

　　真的無能為力嗎？不，一個堅固、安全、可管理的網絡是我們“裸奔”設備最后的“safe house”。失陷的終端，交給網絡來保護。

　　我們可以看到，在XcodeGhost的攻擊鏈條中，“搭建C&C服務器與XcodeGhost建立連接”是整個攻擊的有效工作的基礎。如果我們的網絡安全體系，能夠足夠準確地識別這一行為并及時報警、阻斷，XcodeGhost的攻擊行為將在網絡中徹底失效。

　　許多政府、企業、教育機構已經利用基于網絡層五元組的傳統網絡安全產品迅速封堵了目前已知的XcodeGhost 服務器的IP地址。然而，面對DNS劫持、層出不窮的XcodeGhost 服務器，傳統的網絡層安全產品也許會出現反應緩慢、效果不佳的問題。

　　網康作為已經為超過20000家企業打造安全可管理網絡的應用層安全提供商，已經在第一時間為失陷終端構造了一個“安全屋”。通過上網行為管理等一系列安全管理產品的加固，我們對網絡中XcodeGhost流量進行了有效識別和阻斷，斬斷XcodeGhost的攻擊鏈條的第一環。

如何通過上網行為管理打造安全可管理的網絡？

　　面對XcodeGhost，我們利用網康獨特的XAI(extensive application inspection)包識別技術，對XcodeGhost進行了大樣本的流量分析，并成功將應用層特征提取出來。分析結果顯示，XcodeGhost與兩個服務器地址的連接建立在HTTP POST報文中，并與被感染APP有明顯的特征區別。因此，網康迅速將XcodeGhost的特征剝離出來，發布了最新的協議升級更新，并應用于旗下上網行為管理(ICG)等產品中。