覆巢之下岂有完卵

　　XcodeGhost事件经过一周时间发酵，危害性逐渐显现：据报道，被感染移动应用数量已经超过800款，其中包括数十款下载排行榜中前500的APP。可以断定，XcodeGhost事件已经成为自2008年APP Store上线以来很严重的安全事件。

　　尽管XcodeGhost连接服务器的相关域名已经不可访问，木马的始作俑者也已经公开露面，被但随着源代码及大量技术信息的披露，已经植入在用户iOS设备中的XcodeGhost已经开始被越来越多的黑客用于违法目的。在繁冗复杂案例中，我们剥离出如下攻击逻辑：

　　1. 黑客通过DNS劫持或其他方式，将XcodeGhost与init.icloud-analysis.com、init.icloud-diagnostics.com的连接请求重定向到自己搭建的C&C服务器;

　　2. C&C服务器利用被感染的应用弹出钓鱼弹窗，伪装iCloud身份验证，要求输入密码;

　　3. 用户输入的密码会被立即发送至黑客的C&C服务器中，iCloud账号窃取完成;

　　4. 黑客通过“查找我的iPhone”功能锁定设备，并留下联系方式进行金钱勒索，或者干脆把iCloud账户余额买光。

　　5. 但更可怕的是，在水面以下，更凶恶的高级威胁正在贪婪的吸收着这些“宝贵”的信息，比如你在iCloud上的通讯录。

　　目前为止，在iOS终端上，除非用户卸载被感染应用或等待其升级，普通用户没有任何其他手段来彻底解决此安全威胁。

最后的安全屋

　　真的无能为力吗？不，一个坚固、安全、可管理的网络是我们“裸奔”设备最后的“safe house”。失陷的终端，交给网络来保护。

　　我们可以看到，在XcodeGhost的攻击链条中，“搭建C&C服务器与XcodeGhost建立连接”是整个攻击的有效工作的基础。如果我们的网络安全体系，能够足够准确地识别这一行为并及时报警、阻断，XcodeGhost的攻击行为将在网络中彻底失效。

　　许多政府、企业、教育机构已经利用基于网络层五元组的传统网络安全产品迅速封堵了目前已知的XcodeGhost 服务器的IP地址。然而，面对DNS劫持、层出不穷的XcodeGhost 服务器，传统的网络层安全产品也许会出现反应缓慢、效果不佳的问题。

　　网康作为已经为超过20000家企业打造安全可管理网络的应用层安全提供商，已经在第一时间为失陷终端构造了一个“安全屋”。通过上网行为管理等一系列安全管理产品的加固，我们对网络中XcodeGhost流量进行了有效识别和阻断，斩断XcodeGhost的攻击链条的第一环。

如何通过上网行为管理打造安全可管理的网络？

　　面对XcodeGhost，我们利用网康独特的XAI(extensive application inspection)包识别技术，对XcodeGhost进行了大样本的流量分析，并成功将应用层特征提取出来。分析结果显示，XcodeGhost与两个服务器地址的连接建立在HTTP POST报文中，并与被感染APP有明显的特征区别。因此，网康迅速将XcodeGhost的特征剥离出来，发布了最新的协议升级更新，并应用于旗下上网行为管理(ICG)等产品中。