Enlaces a todas las partes:Parte 1. Acceso inicial a un dispositivo móvil (acceso inicial)Parte 2. Persistencia y escaladaParte 3. Obtención de acceso de credenciales (acceso de credenciales)Parte 4. Evasión de defensaParte 5. Descubrimiento y movimiento lateralEstoy comenzando la próxima serie de publicaciones ( ver las anteriores ) dedicadas al estudio de tácticas y técnicas para implementar ataques de piratas informáticos, incluidas en la base de conocimiento MITER ATT & CK. La sección describirá las técnicas utilizadas por los ciberdelincuentes en cada etapa de la cadena de ataque en dispositivos móviles.Bajo el corte: los principales vectores de dispositivos móviles comprometidos, destinados a obtener por parte del atacante una "presencia" en el sistema atacado.
El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de ATT @ CK Mobile Matrices: Device Access .Plataforma: Android, iOS
Descripción: las aplicaciones malintencionadas son la forma más común para que un atacante "esté presente" en dispositivos móviles. Los sistemas operativos móviles a menudo se configuran para instalar aplicaciones solo de tiendas autorizadas (Google Play Store o Apple App Store), por lo que el adversario puede intentar colocar su aplicación maliciosa en una tienda de aplicaciones autorizada.
Las tiendas de aplicaciones generalmente requieren el registro del desarrollador y tienen herramientas para detectar aplicaciones maliciosas, pero los oponentes pueden usar algunas formas de evitar la protección de la tienda:
- Descargue código malicioso durante la ejecución de la aplicación después de instalarlo desde la tienda de aplicaciones;
- Ofuscación de archivos e información;
- Uso de credenciales comprometidas y firmas digitales de desarrolladores de aplicaciones móviles de buena fe;
- Probar la posibilidad de evitar los sistemas para el análisis automatizado de la seguridad de las aplicaciones móviles en la tienda de aplicaciones.
Un adversario puede colocar intencionalmente código malicioso en una aplicación para determinar si funciona en el entorno de análisis de seguridad de la tienda de destino y, si es necesario, deshabilitar el lanzamiento de contenido malicioso durante el análisis. Los atacantes también pueden usar identidades falsas, tarjetas de pago, etc. al crear cuentas de desarrollador para la posterior publicación de aplicaciones maliciosas en las tiendas.
Además, los opositores también pueden usar cuentas de usuario de Google comprometidas para usar las capacidades de instalación remota de aplicaciones en dispositivos Android asociadas con una cuenta controlada de Google (con esta técnica solo puede instalar aplicaciones desde Google Play Store de forma remota).
Recomendaciones de protección: en un entorno corporativo, se recomienda realizar verificaciones de aplicaciones para detectar vulnerabilidades y acciones no deseadas (maliciosas o que violen la confidencialidad), implementar políticas de restricción de aplicaciones o políticas de Traer su propio dispositivo (BYOD) (traer su propio dispositivo) que imponen restricciones solo a la parte controlada por la empresa del dispositivo. La capacitación, los entrenamientos y las guías de usuario ayudarán a admitir una determinada configuración de dispositivos corporativos y, a veces, incluso evitarán acciones de riesgo específicas del usuario.
Los sistemas EMM / MDM u otras soluciones para proteger dispositivos móviles pueden detectar automáticamente aplicaciones no deseadas o maliciosas en dispositivos corporativos. Los desarrolladores de software generalmente tienen la capacidad de escanear tiendas de aplicaciones en busca de aplicaciones no autorizadas que se enviaron utilizando su ID de desarrollador.
Plataforma: Android, iOS
Descripción: a pesar de la posible prohibición de instalar aplicaciones de fuentes de terceros en el dispositivo de destino, un adversario puede evitar deliberadamente colocar una aplicación maliciosa en tiendas de aplicaciones autorizadas para reducir el riesgo de detección potencial.
Métodos alternativos de entrega de aplicaciones:- Archivo adjunto de Spearphishing: aplicación como archivo adjunto a un mensaje de correo electrónico;
- Enlace de phishing: un enlace a un paquete de aplicación móvil en un correo electrónico o mensaje de texto (SMS, iMessage, Hangouts, WhatsApp, etc.), un sitio web, un código QR b, etc.
- Tienda de aplicaciones de terceros: la aplicación se publica en la tienda de aplicaciones, en la que no hay control de seguridad similar a una tienda autorizada.
En el caso de iOS, un adversario también puede intentar obtener un par de claves y un certificado de clave de distribución Enterprise para difundir la aplicación maliciosa sin publicarla en la AppStore.
Recomendaciones de protección: en iOS, la activación de los parámetros
allowEnterpriseAppTrust y
allowEnterpriseAppTrustModification evitará que los usuarios instalen aplicaciones firmadas por la clave de distribución Enterprise.
iOS versión 9 y superior requiere el consentimiento explícito del usuario para instalar una aplicación de clave de distribución Enterprise firmada que no sea de AppStore, por lo que los usuarios deben estar capacitados para no aceptar instalar la aplicación si no están seguros sobre el origen de la distribución de la aplicación.
En Android, para instalar aplicaciones de fuentes de terceros, el parámetro "Fuentes desconocidas" debe estar habilitado, por lo que los usuarios deben estar capacitados para activar y controlar este parámetro.
EMM / MDM u otras soluciones para proteger dispositivos móviles pueden identificar la presencia de aplicaciones instaladas de fuentes de terceros, identificar dispositivos Android que pueden instalar aplicaciones de fuentes de terceros y determinar la presencia de paquetes de aplicaciones de Android o iOS en mensajes de correo electrónico.
Plataforma: Android, iOS
Descripción: Un adversario puede obtener acceso a un sistema móvil a través de una descarga de código oculto, que se ejecuta cuando un usuario visita un sitio web controlado por un atacante. La implementación de esta técnica requiere una vulnerabilidad correspondiente en el navegador web del usuario. Por ejemplo, un sitio web puede contener contenido multimedia malicioso diseñado para explotar la
vulnerabilidad Stagefright en Android.
Recomendaciones de protección: compre dispositivos de proveedores u operadores móviles que garanticen la pronta provisión de actualizaciones de seguridad. Debe dejar de usar dispositivos vulnerables que no reciben actualizaciones de seguridad debido a la expiración del período de soporte.
En un entorno corporativo, se recomienda restringir y bloquear el acceso a los recursos corporativos desde dispositivos móviles en los que no se instalan las últimas actualizaciones de seguridad. El acceso desde dispositivos Android se puede controlar en base a parches. El acceso desde dispositivos iOS se puede controlar según la versión del sistema operativo.
Se recomienda usar solo las últimas versiones de los sistemas operativos móviles, que, por regla general, contienen no solo parches, sino que también tienen una arquitectura de seguridad mejorada que proporciona resistencia a vulnerabilidades no detectadas anteriormente.
Plataforma: Android, iOS
Descripción: Se puede conectar
un dispositivo móvil (generalmente a través de USB) a una estación de carga o PC comprometida, con lo cual un adversario puede intentar obtener acceso al dispositivo.
Famosas demostraciones de ataques exitosos:
- La introducción de aplicaciones maliciosas en dispositivos iOS ( fuente );
- Explotar las vulnerabilidades de Nexus 6 o 6P a través de USB, incluida la interceptación de llamadas telefónicas, el tráfico de red y la recepción de datos sobre la ubicación física del dispositivo;
- Explotación de vulnerabilidades de Android a través de USB utilizando el ejemplo de Google Pixel 2.
Se espera que los
productos Cellebrite y Grayshift utilicen el acceso físico a los puertos de datos para desbloquear contraseñas en algunos dispositivos iOS.
Recomendaciones de protección: las políticas de seguridad corporativas deberían evitar la inclusión de depuración USB en dispositivos Android (si esto no es necesario, por ejemplo, cuando el dispositivo se utiliza para el desarrollo de aplicaciones). En los dispositivos que brindan la capacidad de desbloquear el gestor de arranque, lo que le permite modificar el firmware, se requieren verificaciones periódicas para bloquear el gestor de arranque.
No se recomienda que use estaciones de carga públicas o computadoras para cargar sus dispositivos. Proporcione a los usuarios cargadores comprados a un proveedor confiable. No se recomienda a los usuarios agregar dispositivos confiables a menos que sea necesario.
Descripción: las vulnerabilidades pueden explotarse a través de la interfaz de comunicación celular u otras interfaces de radio.
Hazañas de banda baseUn mensaje enviado a un dispositivo móvil a través de una interfaz de radio (generalmente celular, pero también bluetooth, GPS, NFC,
Wi-Fi , etc.) puede explotar
vulnerabilidades en el código que procesa el mensaje recibido (por ejemplo, una
vulnerabilidad en Samsung S6) .
SMS maliciososUn SMS puede contener contenido diseñado para explotar
vulnerabilidades en el analizador de SMS en el dispositivo receptor. SMS también puede contener un enlace a un sitio web que contiene contenido malicioso.
Las tarjetas SIM vulnerables se pueden explotar y reprogramar de forma remota mediante mensajes SMS.
Recomendaciones de protección: compre dispositivos de proveedores u operadores móviles que garanticen la pronta provisión de actualizaciones de seguridad. Debe dejar de usar dispositivos vulnerables que no reciben actualizaciones de seguridad debido a la expiración del período de soporte.
En un entorno corporativo, se recomienda restringir y bloquear el acceso a los recursos corporativos desde dispositivos móviles en los que no se instalan las últimas actualizaciones de seguridad. El acceso desde dispositivos Android se puede controlar en base a parches. El acceso desde dispositivos iOS se puede controlar según la versión del sistema operativo.
Se recomienda usar solo las últimas versiones de los sistemas operativos móviles, que, por regla general, contienen no solo parches, sino que también tienen una arquitectura de seguridad mejorada que proporciona resistencia a vulnerabilidades no detectadas anteriormente.
Plataforma: Android, iOS
Descripción: un adversario puede intentar instalar una configuración insegura o maliciosa en un dispositivo móvil mediante un mensaje de phishing o un mensaje de texto que contiene un archivo de configuración como un archivo adjunto o un enlace web a los parámetros de configuración. Al establecer los parámetros de configuración, el usuario puede ser engañado utilizando métodos de ingeniería social. Por ejemplo, un certificado no deseado de una autoridad de certificación (CA) se puede colocar en el almacén de certificados de confianza del dispositivo, lo que aumenta la susceptibilidad del dispositivo a ataques en el medio de una persona.
En iOS, los perfiles de configuración maliciosos pueden contener certificados de Autoridad de certificación (CA) no deseados u otras configuraciones inseguras, como la dirección de un servidor proxy o VPN no deseado para enrutar el tráfico del dispositivo a través de un sistema atacante. El dispositivo también se puede inscribir en un sistema enemigo de administración de dispositivos móviles (MDM).
Recomendaciones de protección: en iOS 10.3 y superior, se ha agregado un paso adicional que requiere la acción del usuario para instalar nuevos certificados de CA confiables. En Android, las aplicaciones compatibles con Android 7 y superior (nivel API 24), de manera predeterminada, confían solo en los certificados de CA que se entregan con el sistema operativo y no son agregados por el usuario o administrador, lo que generalmente reduce la susceptibilidad del sistema operativo a los ataques de personas intermedias.
Como regla, los parámetros de configuración inseguros o maliciosos no se establecen sin el consentimiento del usuario, por lo que los usuarios deben tener en cuenta que no deben establecer parámetros de configuración inesperados (certificados de CA, perfiles de configuración de iOS, establecer una conexión a MDM).
En Android, un usuario puede ver certificados de CA confiables a través de la configuración del dispositivo para identificar certificados sospechosos. Los sistemas de seguridad corporativos para dispositivos móviles pueden verificar de manera similar el almacén de certificados en busca de anomalías automáticamente.
En iOS, un usuario puede ver los perfiles de configuración instalados a través de la configuración del dispositivo e identificar perfiles sospechosos. Del mismo modo, los sistemas MDM pueden usar la API MDM de iOS para verificar las listas de perfiles instalados en busca de anomalías.
Plataforma: Android, iOS
Descripción: Al tener acceso físico a un dispositivo móvil, un adversario puede intentar saltear la pantalla de bloqueo del dispositivo.
Spoofing biométricoUn adversario puede intentar engañar el mecanismo de autenticación biométrica. iOS mitiga parcialmente este ataque al requerir una contraseña del dispositivo, no una huella digital, después de cada reinicio y 48 horas después del último desbloqueo. Android tiene mecanismos de protección similares.
Adivina el código de desbloqueo o una simple búsquedaUn adversario puede tratar de adivinar o de alguna otra manera adivinar el código de acceso, incluida la observación física (navegación de sohulder) mientras el usuario está usando el dispositivo.
Otras vulnerabilidades de la pantalla de bloqueoAndroid 5 e iOS 6 y otros dispositivos móviles demuestran periódicamente cómo aprovechar las vulnerabilidades para evitar la pantalla de bloqueo. Las vulnerabilidades generalmente son reparadas por el dispositivo o el desarrollador del sistema operativo tan pronto como se dan cuenta de su existencia.
Recomendaciones de protección: las políticas de seguridad corporativas para dispositivos móviles deben establecer requisitos para la complejidad de la contraseña en el dispositivo. La política corporativa puede incluir la destrucción automática de todos los datos en el dispositivo al ingresar repetidamente la contraseña incorrecta. Ambas políticas están destinadas a prevenir ataques de fuerza bruta, adivinar o "espiar" códigos de acceso.
Si es necesario, la política corporativa también puede prohibir la autenticación biométrica. Sin embargo, la autenticación biométrica es más conveniente que usar un código de acceso largo y complejo, ya que no tiene que ingresarlo cada vez.
Se recomienda que instale actualizaciones de seguridad y use las últimas versiones del sistema operativo móvil.
Plataforma: Android, iOS
Descripción: Un adversario puede descargar una aplicación, desarmarla, agregar código malicioso y luego volver a armarla (
ejemplo ). La aplicación reconstruida se verá como la original, pero contiene funciones maliciosas adicionales. Luego, dicha aplicación puede publicarse en tiendas de aplicaciones o entregarse al dispositivo utilizando otras técnicas.
Recomendaciones de protección: instale aplicaciones solo de tiendas autorizadas que tienen menos probabilidades de contener aplicaciones reempaquetadas maliciosas.
Los sistemas EMM / MDM y otras herramientas de seguridad de aplicaciones móviles de nivel empresarial pueden detectar automáticamente aplicaciones no deseadas, desconocidas, inseguras o maliciosas en los dispositivos.
Plataforma: Android, iOS
Descripción: Un compromiso de la cadena de suministro es una modificación de un producto de software y mecanismos de entrega del producto antes de que un consumidor los reciba para comprometer los datos o el sistema. Los opositores pueden explotar vulnerabilidades no intencionales, por lo que en muchos casos es difícil determinar si la funcionalidad vulnerable es el resultado de un error malicioso o no intencional.
Identificación de vulnerabilidades en bibliotecas de software de terceros.Las bibliotecas de terceros incluidas en las aplicaciones móviles pueden contener código malicioso que viola la privacidad o crea vulnerabilidades. Existen ejemplos conocidos de vulnerabilidades y problemas de seguridad en las bibliotecas de publicidad móvil.
Distribución de herramientas de desarrollo de software malicioso.Como
demostró el ataque
XcodeGhost , los desarrolladores de aplicaciones pueden usar versiones modificadas de herramientas de desarrollo de software (por ejemplo, compiladores) que inyectan automáticamente códigos maliciosos o vulnerabilidades en la aplicación.
Recomendaciones de protección: las bibliotecas de terceros inseguras se pueden detectar mediante varios métodos de verificación de aplicaciones. Por ejemplo, el Programa de mejora de seguridad de aplicaciones de Google detecta el uso de bibliotecas de terceros con vulnerabilidades conocidas en las aplicaciones de Android disponibles en la tienda Google Play. Las herramientas de desarrollo de malware y las herramientas modificadas de desarrolladores de software se pueden detectar utilizando sistemas de monitoreo de integridad de archivos en las computadoras de los desarrolladores.