XcodeGhost机读IOC情报

2015-09-24

当前威胁情报已经成为改善日益恶化的安全态势最重要的手段之一,通过快速共享威胁识别、攻击方式以及失陷特征等威胁情报,能够达到对攻击(包括定向攻击及APT攻击)的快速检测和响应,这一切的基础是可机读威胁情报。安全情报厂商监控、分析,获得新出现攻击的相关情报,可以采用一定的业界标准生成可机读威胁情报并迅速发布,支持此标准的产品(如:SIEM、FW、IDP、AV等)就可以快速读取其中的内容,并根据其中提供的元素进行检测或关联分析,这样就可以快速发现或阻截此种攻击。实现一处发现,全网获得防御能力的目的。现今国际上通行的可机读威胁情报标准有多种,包括:STIX、OpenIOC、IODEF、CIF、OTX等。

XcodeGhost通过一种新的攻击方式,感染了数千种手机APP,至使数千万用户受到影响,国内各大安全企业纷纷投入精力进行追踪、分析。Threatbook作为国内首家专注于安全威胁情报的创业公司,拥有海量威胁情报数据积累,在对XcodeGhost的作者及其攻击目的进行了关联分析后(参见“疑点披露:XcodeGhost威胁情报分析”),公开发布可机读的IOC威胁情报(基于OpenIOC格式),希望以此推动业界广泛的使用“可机读威胁情报”的方式来检测和防范威胁,促进安全行业内的情报分享。

此次共提供3个.ioc 文件,分别是:

1. 2015_09_XCodeGhost IDE.ioc:包含Xcode 集成开发环境是否被感染的检测指标;

MD5:20b41669037f66e3b7d8c636088f519f

SHA1:3804c0860a9cd2c779acb4ac952fdef8c36484c0

2. 2015_09_XCodeGhost Infected File.ioc:包含手机APP是否被感染的检测指标;

MD5:5eb9d20f129687913dd182d2a245dc35

SHA1:ae9f50605a4c66f71fb6f2a922bc6949d91c87b6

3. 2015_09_XCodeGhost Domain_IP_Actor.

ioc:包含此团伙的网络资产、网络身份信息及关联威胁等信息;

MD5:ae57c0d8b80ef9d2cbe8a00736845eb9

SHA1:74f8d9feb5779f05e349961ec0d92b6b0a71e1fc

您可以访问ThreatBook网站( http://threatbook.cn/ioc/xcodeghost)来下载这些文件,并能够通过IOCedtior(http://bluecloudws.github.io/ioceditor/" )或Windows客户端( https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-ioc-editor.zip)浏览IOC文件。

保障安全,轻松狩猎攻击者!

返回Blog首页