UnityGhost的检测和回溯

0x1 问题描述和速查方法

　　此次XcodeGhost病毒并不仅仅只篡改Xcode的dmg安装文件&＃xff0c;百度安全实验室发现Unity3d也同样被插入了恶意代码。Unity是由Unity Technologies开发的用于创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具&＃xff0c;Unity可发布游戏至Windows、OS X、Wii、iPhone、Windows phone 8和Android平台。但目前安全实验室搜集到的样本只有感染iOS app&＃xff0c;还未发现感染安卓或是Windows平台代码
　　目前我们观察到Unity OS X平台和Windows平台的安装包版本4.x至5.1.x&＃xff08;范围可能更大&＃xff09;, 64/32位版本均有被修改的现象&＃xff0c;被修改后文件均没有数字签名&＃xff0c;在文件安装前可以很容易的区分开&＃xff0c;对于OS X下dmg文件中包含的pkg文件&＃xff0c;可以使用 pkgutil –check-signature Unity.pkg来进行检查。这里附上Windows和OS X下正确版本数字签名校验的截图&＃xff1a;
 

　　病毒作者修改了libiPhone-lib-il2cpp.a文件, 在其中增加了libiPhone-lib-il2cpp.a-arch-masterx.x.o&＃xff0c;其中arch为具体的架构名&＃xff0c;并修改了project.pbxproj的配置信息。libiPhone-lib-il2cpp.a在 mac平台下位于./Unity/Unity.app/Contents/PlaybackEngines/iossupport/Trampoline/Libraries/ libiPhone-lib-il2cpp.a&＃xff0c;windows平台上的路径为&＃xff1a;Unity/Editor/Data/PlaybackEngines/iossupport/Trampoline/Libraries/libiPhone-lib-il2cpp.a。
　　快速自查方法&＃xff1a;由于.a是复合的archive文件&＃xff0c;解压比较麻烦&＃xff0c;可以直接检查./iossupport/Trampoline/Unity-iPhone.xcodeproj/project.pbxproj中&＃xff0c;是否含有”-ObjC”字符串&＃xff0c;如果有则属于被感染版本。下图左侧为受感染文件&＃xff0c;右侧为正常文件。
 

0x2 代码逻辑

　　整体来说&＃xff0c;Unity上受感染的恶意代码行为和XcodeGhost行为基本一致&＃xff0c;更详细的信息可参看之前 关于XcodeGhost分析 。通过这些分析&＃xff0c;可以见到&＃xff0c;恶意代码作者有着很强的躲避检测的动机。下图是OS X平台上的一个受感染文件libiPhone-lib-il2cpp.a-armv7-master.o。 
 

0x3制作时间

　　通过对于恶意DMG和官方DMG中的文件信息&＃xff0c;我们能够非常清楚的看到恶意代码作者进行打包修改文件的时间&＃xff0c;以unity-4.6.6.dmg为例&＃xff1a;
 

　　可以看出&＃xff0c;UnityGhost作者在今年6月29日下午进行的修改操作。
　　下面是我们搜集到的官方发布版本和样本篡改时间的时间轴&＃xff1a;