張楠

前段時(shí)間在iOS平臺(tái)上肆虐的XcodeGhost讓很多認(rèn)為蘋果操作系統(tǒng)固若金湯的人大跌眼鏡，尤其是經(jīng)常使用敏感應(yīng)用（網(wǎng)銀、證券交易、即時(shí)通信等）的用戶更是脊背發(fā)涼。在XcodeGhost爆發(fā)的高峰期有超過800款應(yīng)用被確認(rèn)感染，其中包括大量的在蘋果App Store上排名前500的應(yīng)用?？梢哉f，這是蘋果自2008年上線App Store以來最大的安全事件。

有沒有在安全威脅剛剛開始的時(shí)候就將其控制在可控范圍內(nèi)的辦法呢？

網(wǎng)康科技的建議是采用基于網(wǎng)康慧眼云和下一代防火墻的失陷主機(jī)檢測(cè)解決方案。網(wǎng)康下一代防火墻可以利用代碼分析和惡意流量監(jiān)控，獲取威脅活動(dòng)特征，而慧眼云可以對(duì)防火墻設(shè)備上傳的異常日志進(jìn)行全局關(guān)聯(lián)分析，確定用戶網(wǎng)絡(luò)中的失陷主機(jī)。目前，網(wǎng)康下一代防火墻已經(jīng)提供對(duì)XCodeGhost惡意代碼的防護(hù)解決方案。

在2015中國網(wǎng)絡(luò)安全大會(huì)上，網(wǎng)康的技術(shù)人員講解了網(wǎng)康是如何做到快速識(shí)別惡意代碼的。面對(duì)XcodeGhost，網(wǎng)康利用其獨(dú)特的XAI（eXtensive Application Inspection）包識(shí)別技術(shù)，對(duì)XcodeGhost進(jìn)行了大樣本流量分析，并成功將應(yīng)用層特征提取出來。分析結(jié)果顯示，XcodeGhost與兩個(gè)服務(wù)器地址的連接建立在HTTP POST報(bào)文中，并與被感染應(yīng)用有明顯的特征區(qū)別。因此，網(wǎng)康迅速將XcodeGhost的特征剝離出來，發(fā)布了最新的協(xié)議升級(jí)更新，并應(yīng)用于旗下上網(wǎng)行為管理（ICG）等產(chǎn)品中。

在XcodeGhost攻擊過程中，網(wǎng)康ICG能夠在互聯(lián)網(wǎng)出口有效發(fā)現(xiàn)XcodeGhost與C&C服務(wù)器建立通信的流量并及時(shí)進(jìn)行阻斷隔離。在隔離過程中，網(wǎng)康ICG可以實(shí)現(xiàn)精確切割、靈活配置、及時(shí)響應(yīng)。

精確切割，實(shí)現(xiàn)被感染APP與XcodeGhost特征分離，對(duì)XcodeGhost流量隔離并不影響被感染APP的正常使用；靈活配置，能夠?qū)Ω綦x策略的生效時(shí)間、操作系統(tǒng)、IP范圍等進(jìn)行細(xì)粒度定義，確保不會(huì)讓無關(guān)流量影響設(shè)備性能；及時(shí)響應(yīng)，網(wǎng)康所有安全管理類產(chǎn)品都具有以周為周期的特征協(xié)議庫更新機(jī)制，如果XcodeGhost出現(xiàn)變種或者類似XcodeGhost的木馬出現(xiàn)，網(wǎng)康會(huì)將最新的協(xié)議庫及時(shí)推送至設(shè)備端，及時(shí)響應(yīng)新威脅。

網(wǎng)康科技建議網(wǎng)康下一代防火墻用戶立即在安全策略中開啟間諜軟件防護(hù)選項(xiàng)，并升級(jí)IPS特征庫版本，以實(shí)現(xiàn)對(duì)XCodeGhost惡意流量的識(shí)別和阻斷。

同時(shí)，網(wǎng)康下一代防火墻用戶可登錄網(wǎng)康官網(wǎng)在線提交“慧眼云”試用申請(qǐng)，利用云端的威脅情報(bào)檢測(cè)和異常行為分析能力，快速發(fā)現(xiàn)網(wǎng)絡(luò)中已失陷的蘋果終端。

網(wǎng)康現(xiàn)場(chǎng)工作人員向記者表示，事實(shí)再次證明，無論惡意行為如何隱藏，終究會(huì)留下蛛絲馬跡。也許用戶終端無法檢測(cè)，但通過網(wǎng)康“慧眼云”這樣的云和大數(shù)據(jù)技術(shù)對(duì)異常行為做深度關(guān)聯(lián)分析，就可以很快找到問題的根源，對(duì)癥下藥。