如何通过安全的网络防御XcodeGhost？

覆巢之下岂有完卵

XcodeGhost事件经过一周时间发酵，危害性逐渐显现：据报道，被感染移动应用数量已经超过800款，其中包括数十款下载排行榜中前500的APP。可以断定，XcodeGhost事件已经成为自2008年APP Store上线以来最严重的安全事件。

尽管XcodeGhost连接服务器的相关域名已经不可访问，木马的始作俑者也已经公开露面，被但随着源代码及大量技术信息的披露，已经植入在用户iOS设备中的XcodeGhost已经开始被越来越多的黑客用于违法目的。在繁冗复杂案例中，我们剥离出如下攻击逻辑：

1. 黑客通过DNS劫持或其他方式，将XcodeGhost与init.icloud-analysis.com、init.icloud-diagnostics.com的连接请求重定向到自己搭建的C&C服务器；
2. C&C服务器利用被感染的应用弹出钓鱼弹窗，伪装iCloud身份验证，要求输入密码；
3. 用户输入的密码会被立即发送至黑客的C&C服务器中，iCloud账号窃取完成；
4. 黑客通过“查找我的iPhone”功能锁定设备，并留下联系方式进行金钱勒索，或者干脆把iCloud账户余额买光。
5. 但更可怕的是，在水面以下，更凶恶的高级威胁正在贪婪的吸收着这些“宝贵”的信息，比如你在iCloud上的通讯录。

目前为止，在iOS终端上，除非用户卸载被感染应用或等待其升级，普通用户没有任何其他手段来彻底解决此安全威胁。

最后的安全屋

真的无能为力吗？不，一个坚固、安全、可管理的网络是我们“裸奔”设备最后的“safe house”。失陷的终端，交给网络来保护。

我们可以看到，在XcodeGhost的攻击链条中，“搭建C&C服务器与XcodeGhost建立连接”是整个攻击的有效工作的基础。如果我们的网络安全体系，能够足够准确地识别这一行为并及时报警、阻断，XcodeGhost的攻击行为将在网络中彻底失效。

许多政府、企业、教育机构已经利用基于网络层五元组的传统网络安全产品迅速封堵了目前已知的XcodeGhost 服务器的IP地址。然而，面对DNS劫持、层出不穷的XcodeGhost 服务器，传统的网络层安全产品也许会出现反应缓慢、效果不佳的问题。

网康作为已经为超过20000家企业打造安全可管理网络的应用层安全提供商，已经在第一时间为失陷终端构造了一个“安全屋”。通过上网行为管理等一系列安全管理产品的加固，我们对网络中XcodeGhost流量进行了有效识别和阻断，斩断XcodeGhost的攻击链条的第一环。

如何通过上网行为管理打造安全可管理的网络？

面对XcodeGhost，我们利用网康独特的XAI（extensive application inspection）包识别技术，对XcodeGhost进行了大样本的流量分析，并成功将应用层特征提取出来。分析结果显示，XcodeGhost与两个服务器地址的连接建立在HTTP POST报文中，并与被感染APP有明显的特征区别。因此，网康迅速将XcodeGhost的特征剥离出来，发布了最新的协议升级更新，并应用于旗下上网行为管理（ICG）等产品中：

网康上网行为管理是一款网络行为风险管理的产品，部署在企业互联网出口，能够审计与管理内网用户的互联网行为，如网址访问、论坛发帖、邮件收发、文件上传下载等，为企业避免安全风险、违法违规、数据泄露等问题。

在XcodeGhost攻击过程中，网康ICG能够在互联网出口有效发现发现XcodeGhost与C&C服务器建立通信的流量并及时进行阻断隔离。在隔离过程中，网康ICG具有以下特色：

• 精确切割：实现被感染APP与XcodeGhost特征分离，对XcodeGhost流量隔离并不影响被感染APP的正常使用。
• 灵活配置：能够对隔离策略的生效时间、操作系统、IP范围等进行细粒度定义，确保不会让无关流量影响设备性能；
• 及时响应：网康所有安全管理类产品都具有以周为周期的特征协议库更新机制，如果XcodeGhost出现变种或者类似XcodeGhost的木马出现，网康会将最新的协议库及时推送至设备端，及时响应新威胁。

除此之外，网康上网行为管理独特的用户视角能够准确定位已经被感染的用户终端。防护的同时，对感染终端的用户进行提醒，为走出安全屋的用户提供防护建议。

在BYOD、WiFi网络迅速被企业接受的同时，企业网络安全也越来越多地站在了移动终端安全战场的第一线，移动终端安全已经成为企业网络安全的一个重要阵地。我们打造安全的网络，是为了保护我们的数据资产不丢失、保护我们的业务流不中断、保护我们的服务不停摆，同样也是为了保护员工的终端不会暴露在威胁之下，不会受到黑客的胁迫，不会成为威胁进入企业的了绿色通道。

失陷的终端，交给网康来保护。