当前威胁情报已经成为改善日益恶化的安全态势最重要的手段之一，通过快速共享威胁识别、攻击方式以及失陷特征等威胁情报，能够达到对攻击（包括定向攻击及APT攻击）的快速检测和响应，这一切的基础是机读威胁情报。

安全情报厂商监控、分析，获得新出现攻击的相关情报，可以采用一定的业界标准生成机读威胁情报并迅速发布，支持此标准的产品（如：SIEM、FW、IDP、AV等）就可以快速读取其中的内容，并根据其中提供的元素进行检测或关联分析，这样就可以快速发现或阻截此种攻击。实现一处发现，全网获得防御能力的目的。现今国际上通行的机读威胁情报标准有多种，包括：STIX、OpenIOC、IODEF、CIF、OTX等。

XcodeGhost通过一种新的攻击方式，感染了数千种手机APP，至使数千万用户受到影响，国内各大安全企业纷纷投入精力进行追踪、分析。我们对XcodeGhost的作者及其攻击目的进行了深度分析后（参见“疑点披露：XcodeGhost威胁情报分析”），公开发布可机读的IOC威胁情报（基于OpenIOC格式），希望以此推动业界广泛的使用“可机读威胁情报”的方式来检测和防范威胁，促进安全行业内的情报分享。

此次共提供3个.ioc文件，分别是：

1.2015_09_XCodeGhost IDE.ioc：包含Xcode 集成开发环境是否被感染的检测指标；

MD5：20b41669037f66e3b7d8c636088f519f
SHA1：3804c0860a9cd2c779acb4ac952fdef8c36484c0

2.2015_09_XCodeGhost Infected File.ioc：包含手机APP是否被感染的检测指标； 

MD5：5eb9d20f119687913dd182d2a245dc35

SHA1：ae9f50605a4c66f71fb6f2a922bc6949d91c87b6

3.2015_09_XCodeGhost Domain_IP_Actor.ioc：包含此团伙的网络资产、网络身份信息及关联威胁等信息；

MD5：ae57c0d8b80ef9d2cbe8a00736845eb9

SHA1：74f8d9feb5779f05e349961ec0d92b6b0a71e1fc

下载地址

您可以访问ThreatBook网站（http://threatbook.cn/ioc/xcodeghost）来下载这些文件，并能够通过IOCedtior（http://bluecloudws.github.io/ioceditor/ ）或Windows客户端（https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-ioc-editor.zip）浏览IOC文件。

*本文作者：Threatbook(微步在线) 是国内首家专注于安全威胁情报的创业公司，欢迎交流@安全威胁情报