Links zu allen Teilen:Teil 1. Erstzugriff auf ein mobiles GerĂ€t (Erstzugriff)Teil 2. Beharrlichkeit und EskalationTeil 3. Zugriff auf Anmeldeinformationen erhalten (Zugriff auf Anmeldeinformationen)Teil 4. VerteidigungshinterziehungTeil 5. Entdeckung und seitliche BewegungIch beginne mit der nĂ€chsten Reihe von Veröffentlichungen ( siehe vorherige ), die sich mit dem Studium von Taktiken und Techniken zur Implementierung von Hackerangriffen befassen und in der MITRE ATT & CK- Wissensdatenbank enthalten sind . In diesem Abschnitt werden die Techniken beschrieben, die Cyberkriminelle in jeder Phase der Angriffskette auf MobilgerĂ€ten verwenden.Under the Cut - die Hauptvektoren fĂŒr die Kompromittierung mobiler GerĂ€te, die darauf abzielen, dem Angreifer eine "PrĂ€senz" im angegriffenen System zu verschaffen.
Der Autor ist nicht verantwortlich fĂŒr die möglichen Konsequenzen der Anwendung der im Artikel aufgefĂŒhrten Informationen und entschuldigt sich auch fĂŒr mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Bei den veröffentlichten Informationen handelt es sich um eine kostenlose NacherzĂ€hlung des Inhalts von ATT @ CK Mobile Matrices: Device Access .Plattform: Android, iOS
Beschreibung: SchĂ€dliche Anwendungen sind die hĂ€ufigste Möglichkeit fĂŒr einen Angreifer, auf MobilgerĂ€ten âprĂ€sentâ zu sein. Mobile Betriebssysteme sind hĂ€ufig so konfiguriert, dass Anwendungen nur in autorisierten Stores (Google Play Store oder Apple App Store) installiert werden. Daher kann der Gegner versuchen, seine schĂ€dliche Anwendung in einem autorisierten Application Store abzulegen.
Anwendungsspeicher erfordern normalerweise eine Entwicklerregistrierung und verfĂŒgen ĂŒber Tools zum Erkennen bösartiger Anwendungen. Gegner können jedoch einige Möglichkeiten verwenden, um den Speicherschutz zu umgehen:
- Laden Sie schĂ€dlichen Code wĂ€hrend der AnwendungsausfĂŒhrung herunter, nachdem Sie ihn aus dem Anwendungsspeicher installiert haben.
- Verschleierung von Dateien und Informationen;
- Verwendung kompromittierter Anmeldeinformationen und digitaler Signaturen von echten Entwicklern mobiler Anwendungen;
- Testen der Möglichkeit, Systeme zur automatisierten Analyse der Sicherheit mobiler Anwendungen im Anwendungsspeicher zu umgehen
Ein Gegner kann absichtlich schĂ€dlichen Code in eine Anwendung einfĂŒgen, um festzustellen, ob er in der Sicherheitsanalyseumgebung des Zielspeichers funktioniert, und gegebenenfalls den Start von schĂ€dlichem Inhalt wĂ€hrend der Analyse deaktivieren. Angreifer können auch gefĂ€lschte IdentitĂ€ten, Zahlungskarten usw. verwenden. beim Erstellen von Entwicklerkonten fĂŒr die weitere Veröffentlichung bösartiger Anwendungen in GeschĂ€ften.
DarĂŒber hinaus können Gegner auch gefĂ€hrdete Google-Benutzerkonten verwenden, um die Remote-Installation von Anwendungen auf Android-GerĂ€ten zu nutzen, die einem kontrollierten Google-Konto zugeordnet sind (mit dieser Technik können Sie nur Anwendungen aus dem Google Play Store remote installieren).
Schutzempfehlungen: In einer Unternehmensumgebung wird empfohlen, AnwendungsprĂŒfungen auf Schwachstellen und unerwĂŒnschte Aktionen (böswillig oder Verletzung der Vertraulichkeit) durchzufĂŒhren, Richtlinien fĂŒr AnwendungsbeschrĂ€nkungen zu implementieren oder BYOD-Richtlinien (Bring Your Own Device) (Bring Your Own Device) mitzubringen, die EinschrĂ€nkungen auferlegen nur fĂŒr den unternehmensgesteuerten Teil des GerĂ€ts. Schulungen, Schulungen und BenutzerhandbĂŒcher unterstĂŒtzen eine bestimmte Konfiguration von UnternehmensgerĂ€ten und verhindern manchmal sogar bestimmte riskante Benutzeraktionen.
EMM / MDM-Systeme oder andere Lösungen zum Schutz mobiler GerĂ€te können unerwĂŒnschte oder schĂ€dliche Anwendungen auf UnternehmensgerĂ€ten automatisch erkennen. Softwareentwickler haben normalerweise die Möglichkeit, Anwendungsspeicher nach nicht autorisierten Anwendungen zu durchsuchen, die mit ihrer Entwickler-ID gesendet wurden.
Plattform: Android, iOS
Beschreibung: Trotz des möglichen Verbots, Anwendungen aus Quellen von Drittanbietern auf dem ZielgerÀt zu installieren, kann ein Gegner absichtlich vermeiden, eine böswillige Anwendung in autorisierten Anwendungsspeichern zu platzieren, um das Risiko einer möglichen Erkennung zu verringern.
Alternative Methoden zur Bereitstellung von Anwendungen:- Spearphishing-Anhang - Anwendung als Anhang zu einer E-Mail-Nachricht;
- Phishing-Link - ein Link zu einem mobilen Anwendungspaket in einer E-Mail oder Textnachricht (SMS, iMessage, Hangouts, WhatsApp usw.), einer Website, einem QR-Code b usw.;
- Anwendungsspeicher eines Drittanbieters - Die Anwendung wird im Anwendungsspeicher veröffentlicht, in dem keine Sicherheitskontrolle Àhnlich einem autorisierten Speicher vorhanden ist.
Im Fall von iOS kann ein Gegner auch versuchen, ein SchlĂŒsselpaar und ein Enterprise-VerteilungsschlĂŒsselzertifikat zu erhalten, um die schĂ€dliche Anwendung zu verbreiten, ohne sie im AppStore zu veröffentlichen.
Schutzempfehlungen: Wenn Sie unter iOS die Parameter
allowEnterpriseAppTrust und
allowEnterpriseAppTrustModification aktivieren, können
Benutzer keine vom Enterprise-VerteilungsschlĂŒssel signierten Anwendungen installieren.
FĂŒr iOS Version 9 und höher ist die ausdrĂŒckliche Zustimmung des Benutzers erforderlich, um die signierte Enterprise-VerteilungsschlĂŒsselanwendung nicht aus dem AppStore zu installieren. Daher sollten Benutzer geschult werden, der Installation der Anwendung nicht zuzustimmen, wenn sie sich ĂŒber die Quelle der Anwendungsverteilung nicht sicher sind.
Unter Android muss zum Installieren von Anwendungen aus Quellen von Drittanbietern der Parameter "Unbekannte Quellen" aktiviert sein. Daher sollten Benutzer in der Aktivierung und Steuerung dieses Parameters geschult sein.
EMM / MDM oder andere Lösungen zum Schutz mobiler GerĂ€te können das Vorhandensein von Anwendungen identifizieren, die aus Quellen von Drittanbietern installiert wurden, Android-GerĂ€te identifizieren, die Anwendungen aus Quellen von Drittanbietern installieren dĂŒrfen, und das Vorhandensein von Android- oder iOS-Anwendungspaketen in E-Mail-Nachrichten ermitteln.
Plattform: Android, iOS
Beschreibung: Ein Gegner kann durch einen versteckten Code-Download, der ausgefĂŒhrt wird, wenn ein Benutzer eine von einem Angreifer kontrollierte Website besucht, auf ein mobiles System zugreifen. Die Implementierung dieser Technik erfordert eine entsprechende SicherheitsanfĂ€lligkeit im Webbrowser des Benutzers. Beispielsweise kann eine Website schĂ€dliche Medieninhalte enthalten, mit denen die
Stagefright-SicherheitsanfÀlligkeit in Android ausgenutzt werden soll.
Schutzempfehlungen: Kaufen Sie GerÀte von Lieferanten oder Mobilfunkbetreibern, die die sofortige Bereitstellung von Sicherheitsupdates gewÀhrleisten. Sie sollten die Verwendung anfÀlliger GerÀte einstellen, die aufgrund des Ablaufs des Supportzeitraums keine Sicherheitsupdates erhalten.
In einer Unternehmensumgebung wird empfohlen, den Zugriff auf Unternehmensressourcen von MobilgerÀten, auf denen die neuesten Sicherheitsupdates nicht installiert sind, einzuschrÀnken und zu blockieren. Der Zugriff von Android-GerÀten kann mithilfe von Patches gesteuert werden. Der Zugriff von iOS-GerÀten kann basierend auf der Betriebssystemversion gesteuert werden.
Es wird empfohlen, nur die neuesten Versionen mobiler Betriebssysteme zu verwenden, die in der Regel nicht nur Patches enthalten, sondern auch eine verbesserte Sicherheitsarchitektur aufweisen, die Widerstand gegen zuvor nicht erkannte SicherheitslĂŒcken bietet.
Plattform: Android, iOS
Beschreibung: Ein mobiles GerĂ€t kann (normalerweise ĂŒber USB) an eine gefĂ€hrdete Ladestation oder einen PC angeschlossen werden, mit dem ein Gegner versuchen kann, Zugriff auf das GerĂ€t zu erhalten.
BerĂŒhmte Demonstrationen erfolgreicher Angriffe:
- Die EinfĂŒhrung bösartiger Anwendungen auf iOS-GerĂ€ten ( Quelle );
- Ausnutzen von Nexus 6- oder 6P-Schwachstellen ĂŒber USB, einschlieĂlich Abfangen von Telefonanrufen, Netzwerkverkehr und Empfangen von Daten ĂŒber den physischen Standort des GerĂ€ts;
- Ausnutzen von Android-Schwachstellen ĂŒber USB am Beispiel von Google Pixel 2.
Von Cellebrite- und Grayshift-Produkten wird erwartet, dass sie den physischen Zugriff auf Datenports verwenden, um Kennwörter auf einigen iOS-GerÀten zu entsperren.
Schutzempfehlungen: Sicherheitsrichtlinien des Unternehmens sollten die Aufnahme von USB-Debugging auf Android-GerĂ€ten verhindern (wenn dies nicht erforderlich ist, z. B. wenn das GerĂ€t fĂŒr die Anwendungsentwicklung verwendet wird). Auf GerĂ€ten, die die Möglichkeit bieten, den Bootloader zu entsperren und die Firmware zu Ă€ndern, sind regelmĂ€Ăige ĂberprĂŒfungen erforderlich, um den Bootloader tatsĂ€chlich zu sperren.
Es wird nicht empfohlen, öffentliche Ladestationen oder Computer zum Laden Ihrer GerĂ€te zu verwenden. Stellen Sie Benutzern LadegerĂ€te zur VerfĂŒgung, die von einem vertrauenswĂŒrdigen Anbieter gekauft wurden. Benutzern wird nicht empfohlen, vertrauenswĂŒrdige GerĂ€te hinzuzufĂŒgen, sofern dies nicht erforderlich ist.
Beschreibung: SicherheitslĂŒcken können ĂŒber die Mobilfunkschnittstelle oder andere Funkschnittstellen ausgenutzt werden.
Basisband-ExploitsEine Nachricht, die ĂŒber eine Funkschnittstelle an ein mobiles GerĂ€t gesendet wird (normalerweise eine Mobilfunkschnittstelle, aber auch Bluetooth, GPS, NFC,
Wi-Fi usw.), kann
Schwachstellen im Code ausnutzen
, der die empfangene Nachricht verarbeitet (z. B. eine
Schwachstelle in Samsung S6) .
SchÀdliche SMSEine SMS kann Inhalte enthalten, die
Schwachstellen im SMS-AnalysegerÀt auf dem empfangenden GerÀt ausnutzen sollen. SMS kann auch einen Link zu einer Website enthalten, die schÀdlichen Inhalt enthÀlt.
AnfÀllige SIM-Karten können mithilfe von SMS-Nachrichten aus der Ferne ausgenutzt und neu programmiert werden.
Schutzempfehlungen: Kaufen Sie GerÀte von Lieferanten oder Mobilfunkbetreibern, die die sofortige Bereitstellung von Sicherheitsupdates gewÀhrleisten. Sie sollten die Verwendung anfÀlliger GerÀte einstellen, die aufgrund des Ablaufs des Supportzeitraums keine Sicherheitsupdates erhalten.
In einer Unternehmensumgebung wird empfohlen, den Zugriff auf Unternehmensressourcen von MobilgerÀten, auf denen die neuesten Sicherheitsupdates nicht installiert sind, einzuschrÀnken und zu blockieren. Der Zugriff von Android-GerÀten kann mithilfe von Patches gesteuert werden. Der Zugriff von iOS-GerÀten kann basierend auf der Betriebssystemversion gesteuert werden.
Es wird empfohlen, nur die neuesten Versionen mobiler Betriebssysteme zu verwenden, die in der Regel nicht nur Patches enthalten, sondern auch eine verbesserte Sicherheitsarchitektur aufweisen, die Widerstand gegen zuvor nicht erkannte SicherheitslĂŒcken bietet.
Plattform: Android, iOS
Beschreibung: Ein Gegner kann versuchen, eine unsichere oder böswillige Konfiguration auf einem mobilen GerĂ€t zu installieren, indem er eine Phishing-Nachricht oder eine Textnachricht verwendet, die eine Konfigurationsdatei als Anhang oder einen Weblink zu Konfigurationsparametern enthĂ€lt. Beim Festlegen von Konfigurationsparametern kann der Benutzer mithilfe von Social-Engineering-Methoden ausgetrickst werden. Beispielsweise kann ein unerwĂŒnschtes Zertifikat einer Zertifizierungsstelle (CA) im vertrauenswĂŒrdigen Zertifikatspeicher des GerĂ€ts abgelegt werden, wodurch die AnfĂ€lligkeit des GerĂ€ts fĂŒr Man-in-the-Middle-Angriffe erhöht wird.
Unter iOS können böswillige Konfigurationsprofile unerwĂŒnschte CA-Zertifikate (Certificate Authority) oder andere unsichere Einstellungen enthalten, z. B. die Adresse eines unerwĂŒnschten Proxys oder VPN-Servers, um den GerĂ€teverkehr ĂŒber ein Angreifersystem weiterzuleiten. Das GerĂ€t kann auch in einem feindlichen Managementsystem fĂŒr mobile GerĂ€te (MDM) registriert werden.
Schutzempfehlungen: In iOS 10.3 und höher wurde ein zusĂ€tzlicher Schritt hinzugefĂŒgt, der Benutzeraktionen erfordert, um neue vertrauenswĂŒrdige CA-Zertifikate zu installieren. Unter Android vertrauen Anwendungen, die mit Android 7 und höher (API-Stufe 24) kompatibel sind, standardmĂ€Ăig nur den CA-Zertifikaten, die mit dem Betriebssystem geliefert und nicht vom Benutzer oder Administrator hinzugefĂŒgt werden. Dies verringert im Allgemeinen die AnfĂ€lligkeit des Betriebssystems fĂŒr Angriffe durch mittlere Personen.
In der Regel werden unsichere oder böswillige Konfigurationseinstellungen nicht ohne Zustimmung des Benutzers festgelegt. Benutzer sollten sich daher bewusst sein, dass sie keine unerwarteten Konfigurationseinstellungen festlegen sollten (CA-Zertifikate, iOS-Konfigurationsprofile, Herstellen einer Verbindung zu MDM).
Unter Android kann ein Benutzer vertrauenswĂŒrdige CA-Zertifikate ĂŒber GerĂ€teeinstellungen anzeigen, um verdĂ€chtige Zertifikate zu identifizieren. Unternehmenssicherheitssysteme fĂŒr mobile GerĂ€te können den Zertifikatspeicher auf Ă€hnliche Weise automatisch auf Anomalien ĂŒberprĂŒfen.
Unter iOS kann ein Benutzer installierte Konfigurationsprofile ĂŒber GerĂ€teeinstellungen anzeigen und verdĂ€chtige Profile identifizieren. Ebenso können MDM-Systeme die iOS-MDM-API verwenden, um Listen installierter Profile auf Anomalien zu ĂŒberprĂŒfen.
Plattform: Android, iOS
Beschreibung: Wenn ein Gegner physischen Zugriff auf ein mobiles GerÀt hat, versucht er möglicherweise, den Sperrbildschirm des GerÀts zu umgehen.
Biometrisches SpoofingEin Gegner kann versuchen, den biometrischen Authentifizierungsmechanismus auszutricksen. iOS mildert diesen Angriff teilweise ab, indem nach jedem Neustart und 48 Stunden nach der letzten Entsperrung ein GerÀtekennwort und kein Fingerabdruck erforderlich ist. Android hat Àhnliche Schutzmechanismen.
Erraten Sie den Freischaltcode oder eine einfache SucheEin Gegner kann versuchen, den Zugangscode zu erraten oder auf andere Weise zu erraten, einschlieĂlich physischer Beobachtung (Sohulder-Surfen), wĂ€hrend der Benutzer das GerĂ€t verwendet.
Andere Sperrbildschirm-ExploitsAndroid 5 und iOS 6 sowie andere mobile GerĂ€te zeigen regelmĂ€Ăig, wie Schwachstellen ausgenutzt werden können, um den Sperrbildschirm zu umgehen. SicherheitslĂŒcken werden normalerweise vom GerĂ€te- oder Betriebssystementwickler behoben, sobald sie Kenntnis von ihrer Existenz erhalten.
Schutzempfehlungen: Unternehmenssicherheitsrichtlinien fĂŒr mobile GerĂ€te sollten Anforderungen an die KennwortkomplexitĂ€t auf dem GerĂ€t festlegen. Die Unternehmensrichtlinie kann die automatische Zerstörung aller Daten auf dem GerĂ€t beinhalten, wenn wiederholt das falsche Passwort eingegeben wird. Beide Richtlinien sollen Brute-Force-Angriffe, das Erraten oder "AusspĂ€hen" eines Zugangscodes verhindern.
Falls erforderlich, kann die Unternehmensrichtlinie auch die biometrische Authentifizierung verbieten. Die biometrische Authentifizierung ist jedoch bequemer als die Verwendung eines langen, komplexen Zugangscodes, da Sie ihn nicht jedes Mal eingeben mĂŒssen.
Es wird empfohlen, Sicherheitsupdates zu installieren und die neuesten Versionen des mobilen Betriebssystems zu verwenden.
Plattform: Android, iOS
Beschreibung: Ein Gegner kann eine Anwendung herunterladen, zerlegen, schĂ€dlichen Code hinzufĂŒgen und dann wieder zusammensetzen (
Beispiel ). Die neu erstellte Anwendung sieht aus wie das Original, enthÀlt jedoch zusÀtzliche schÀdliche Funktionen. Dann kann eine solche Anwendung in Anwendungsspeichern veröffentlicht oder unter Verwendung anderer Techniken an das GerÀt geliefert werden.
Schutzempfehlungen: Installieren Sie Anwendungen nur in autorisierten GeschÀften, in denen mit geringerer Wahrscheinlichkeit böswillige neu gepackte Anwendungen enthalten sind.
EMM / MDM-Systeme und andere Sicherheitsfunktionen fĂŒr mobile Anwendungen auf Unternehmensebene können unerwĂŒnschte, unbekannte, unsichere oder böswillige Anwendungen auf GerĂ€ten automatisch erkennen.
Plattform: Android, iOS
Beschreibung: Ein Supply-Chain-Kompromiss ist eine Modifikation eines Softwareprodukts und von Produktlieferungsmechanismen, bevor diese von einem Verbraucher empfangen werden, um Daten oder ein System zu gefĂ€hrden. Gegner können unbeabsichtigte SicherheitslĂŒcken ausnutzen. In vielen FĂ€llen ist es daher schwierig festzustellen, ob die anfĂ€llige FunktionalitĂ€t auf einen böswilligen oder unbeabsichtigten Fehler zurĂŒckzufĂŒhren ist.
Identifizierung von Schwachstellen in Softwarebibliotheken von DrittanbieternIn mobilen Anwendungen enthaltene Bibliotheken von Drittanbietern können schĂ€dlichen Code enthalten, der die PrivatsphĂ€re verletzt oder SicherheitslĂŒcken schafft. Es sind Beispiele fĂŒr SicherheitslĂŒcken und Sicherheitsprobleme in mobilen Werbebibliotheken bekannt.
Verteilung bösartiger SoftwareentwicklungstoolsWie der
XcodeGhost- Angriff
gezeigt hat , können Anwendungsentwickler modifizierte Versionen von Softwareentwicklungstools (z. B. Compiler) verwenden, die automatisch schĂ€dlichen Code oder Schwachstellen in die Anwendung einfĂŒgen.
Schutzempfehlungen: Unsichere Bibliotheken von Drittanbietern können durch verschiedene Methoden zur AnwendungsĂŒberprĂŒfung erkannt werden. Das Programm zur Verbesserung der Google-Anwendungssicherheit erkennt beispielsweise die Verwendung von Bibliotheken von Drittanbietern mit bekannten SicherheitslĂŒcken in den im Google Play Store verfĂŒgbaren Android-Anwendungen. Malware-Entwicklungstools und modifizierte Softwareentwickler-Tools können mithilfe von Systemen zur Ăberwachung der DateiintegritĂ€t auf den Computern der Entwickler erkannt werden.