如 果iOS设备已被越狱,则“破界”恶意代码从PC端向iOS端释放并启动start文件,start文件启动后会上传应用和设备sn信息,启动恶意样本 apps(“破界”恶意代码从PC端安装到iOS设备中的应用),apps启动后加载其包下的lib文件sfbase.dylib,该文件运行后会 hook sendEvent函数,获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息通过POST上传到服务器,其中通信录和短信通过sqlite数据 库获取,还会检测更新样本版本。下图为”破界”恶意代码执行流程。
下表给出了“破界”恶意代码执行流程中的关键元素的对应说明:
1. 解包分析
下面以“中国银行手机银行 2.6.3.rar”为例进行分析。解包后有如下8个文件。其中6个DLL与1个文本文件为正常文件,后缀为.exe文件为恶意文件。
2. 向iOS设备安装分析
l 当系统中未装入iTunes时,双击“中国银行手机银行 2.6.3.exe”时,出现警告提示,当点击“是”,会连接iTunes的官方下载站点:http://www.apple.com/cn/itunes/download/。
· 当系统中安装iTunes时,会有如下安装提示:
· 当接入iOS设备时,会有如下提示:
· 当点击“点击安装”时会进行安装并提示安装完成。
安装完成后在测试设备中无新增应用(正常应用及恶意应用均未安装成功)。测试中将正常版本及越狱版本均进行了测试。测试设备:IPad MINI2 + iOS 7.0.4。
3. 释放文件分析
会在用户的Temp目录下释放出如下两个文件:
Apps.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0xdbb22
third.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0x1FDA00
4. PE文件的代码分析:
释放正常文件(third.ipa)和恶意文件(Apps.ipa)
将恶意文件apps.ipa(“破界”恶意代码)向iOS设备中进行安装。
好文章,需要你的鼓励
亚马逊在生成式AI爆发初期便敏锐意识到了人工智能培训的重要性,2023年宣布启动“AI就绪(AI Ready)”计划,通过系统化的人才培养架构,不仅着眼解决当下企业AI应用的人才缺口,更为全球数字经济发展构建了AI人才储备体系。
OpenAI 宣布将于今年晚些时候发布自 GPT-2 后首个开源语言模型,由研究副总裁 Aidan Clark 领导,预计初夏推出。该模型针对高端消费硬件,可灵活启用推理功能,并采用宽松许可证和严格安全评估,此举旨在应对 DeepSeek、Meta 等开源对手的竞争。
Ocient成功融资4210万美元,加速研发基于NVMe SSD与计算近接存储架构的绿色、低成本大数据与 AI 分析解决方案。
联想推出了21款全新存储产品(含液冷HCI系统),帮助企业快速构建AI基础设施,推动IT现代化、提高数据管理效率、降低能耗,并满足多种企业级AI与数据更新需求。