联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


XcodeGhost机读威胁情报IOC
2015-9-24
来源:http://www.freebuf.com/
点击数: 5758          作者:江苏天网
  • 当前威胁情报已经成为改善日益恶化的安全态势最重要的手段之一,通过快速共享威胁识别、攻击方式以及失陷特征等威胁情报,能够达到对攻击(包括定向攻击及APT攻击)的快速检测和响应,这一切的基础是机读威胁情报。

    安全情报厂商监控、分析,获得新出现攻击的相关情报,可以采用一定的业界标准生成机读威胁情报并迅速发布,支持此标准的产品(如:SIEM、FW、IDP、AV等)就可以快速读取其中的内容,并根据其中提供的元素进行检测或关联分析,这样就可以快速发现或阻截此种攻击。实现一处发现,全网获得防御能力的目的。现今国际上通行的机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等。

    XcodeGhost通过一种新的攻击方式,感染了数千种手机APP,至使数千万用户受到影响,国内各大安全企业纷纷投入精力进行追踪、分析。我们对XcodeGhost的作者及其攻击目的进行了深度分析后(参见“疑点披露:XcodeGhost威胁情报分析”),公开发布可机读的IOC威胁情报(基于OpenIOC格式),希望以此推动业界广泛的使用“可机读威胁情报”的方式来检测和防范威胁,促进安全行业内的情报分享。

    此次共提供3个.ioc文件,分别是:

    1.2015_09_XCodeGhost IDE.ioc:包含Xcode 集成开发环境是否被感染的检测指标;

    MD5:20b41669037f66e3b7d8c636088f519f
    SHA1:3804c0860a9cd2c779acb4ac952fdef8c36484c0

    2.2015_09_XCodeGhost Infected File.ioc:包含手机APP是否被感染的检测指标; 

    MD5:5eb9d20f119687913dd182d2a245dc35

    SHA1:ae9f50605a4c66f71fb6f2a922bc6949d91c87b6

    3.2015_09_XCodeGhost Domain_IP_Actor.ioc:包含此团伙的网络资产、网络身份信息及关联威胁等信息;

    MD5:ae57c0d8b80ef9d2cbe8a00736845eb9

    SHA1:74f8d9feb5779f05e349961ec0d92b6b0a71e1fc

    下载地址

    您可以访问ThreatBook网站(http://threatbook.cn/ioc/xcodeghost)来下载这些文件,并能够通过IOCedtior(http://bluecloudws.github.io/ioceditor/ )或Windows客户端(https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-ioc-editor.zip)浏览IOC文件。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019