Beharrlichkeit und Eskalation von Privilegien
Links zu allen Teilen:Teil 1. Erstzugriff auf ein mobiles Gerät (Erstzugriff)Teil 2. Beharrlichkeit und EskalationTeil 3. Zugriff auf Anmeldeinformationen erhalten (Zugriff auf Anmeldeinformationen)Teil 4. VerteidigungshinterziehungTeil 5. Entdeckung und seitliche BewegungPinning-Techniken beschreiben, wie Sie Zugriffsrechte erhalten, die Konfiguration eines mobilen Geräts ändern und andere Aktionen ausführen, wodurch ein Angreifer sicherstellt, dass seine Präsenz im System konstant ist. Oft ist ein Gegner gezwungen, den Zugriff auf ein mobiles Gerät aufrechtzuerhalten, obwohl das Betriebssystem aufgrund eines Neustarts oder eines Zurücksetzens des Systems auf die Werkseinstellungen angehalten wurde.
Nachdem der Gegner im System Fuß gefasst hat, hat er die Möglichkeit, sich bei einem mobilen Gerät anzumelden, wahrscheinlich jedoch mit sehr eingeschränkten Rechten. Durch die Ausnutzung von Verteidigungsschwächen kann ein Gegner jedoch höhere Privilegien erlangen, die zur Erreichung des Angriffsziels erforderlich sind.
Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Bei den veröffentlichten Informationen handelt es sich um eine kostenlose Nacherzählung des Inhalts von ATT @ CK Mobile Matrices: Device Access .Plattform: Android
Beschreibung: Eine böswillige Anwendung fragt den Benutzer möglicherweise nach Geräteadministratorrechten und führt, wenn Berechtigungen erhalten werden, Manipulationen durch, die das Löschen erschweren.
Schutzempfehlungen:AnwendungsvorvalidierungIn der Regel verwenden Anwendungen nur selten Administratorzugriff. Im Unternehmensumfeld sollte das vorläufige Screening von Anträgen solche Programme mit dem Ziel einer weiteren gründlichen Untersuchung identifizieren. Maggi und Zanero beschrieben den
Ansatz der statischen Analyse von Anwendungen, um Ransomware-Anwendungen zu identifizieren, die den
Zugriff von Geräteadministratoren missbrauchen. Kurz gesagt besteht die Erkennung von Ransomware-Anwendungen in der Früherkennung der folgenden Indikatoren in der APK-Datei: Bedrohungstext, ein Code, der mit der Blockierung der Gerätebenutzung des Geräts verbunden ist (nicht löschbare Dialoge, Verbot von Navigationsschaltflächen, Füllen des Bildschirms mit einem Fenster usw.), Datenverschlüsselung oder Missbrauch der Admin-API.
Vorsicht bei Verwendung des GeräteadministratorzugriffsBenutzer mobiler Geräte sollten gewarnt werden, dass sie keine Anforderungen zum Gewähren von Administratorrechten für Anwendungen akzeptieren sollten. Darüber hinaus sollte die Anwendung vor der Installation auf die Verwendung von Administratorrechten überprüft werden, und die erforderlichen Anwendungen, die Administratorzugriff auf das Gerät anfordern, sollten sorgfältig geprüft und nur verwendet werden, wenn ein wichtiger Grund vorliegt. Android-Benutzer können die Liste der Anwendungen mit Administratorrechten in den Geräteeinstellungen anzeigen.
Verwenden der neuesten BetriebssystemversionenDie neuesten Versionen des Betriebssystems enthalten in der Regel nicht nur Patches, sondern verfügen auch über eine verbesserte Sicherheitsarchitektur, die Widerstand gegen zuvor unentdeckte Sicherheitslücken bietet. Beispielsweise hat Android 7 Änderungen eingeführt, um den möglichen Missbrauch von Administratorrechten zu verhindern.
Plattform: Android
Beschreibung: Die Android-Anwendung kann die Übertragung von BOOT_COMPLITED-Broadcast-Nachrichten abhören, wodurch die Aktivierung bei jedem Start des Geräts garantiert wird, ohne darauf zu warten, dass der Benutzer sie manuell startet. BOOT_COMPLITED ist ein Broadcast-Ereignis in Android, das Anwendungen über das Ende des Startvorgangs des Betriebssystems benachrichtigt. Jede Anwendung, die mit einem speziellen BroadcastRecevier-Empfänger ausgestattet ist, kann Broadcast-Nachrichten empfangen und darauf basierende Aktionen ausführen.
Eine 2012 veröffentlichte Analyse von 1260 bösartigen Anwendungen für Android ergab, dass 83,3% der Malware BOOT_COMPLITED abhörten.
Schutzempfehlungen: In einer Unternehmensumgebung ist es möglich, die Anwendungsüberprüfung zu organisieren, um Programme zu identifizieren, die BroadcastReceiver ankündigen, der einen Absichtsfilter von BOOT_COMPLITED enthält. Angesichts der enormen Zunahme der Anzahl von Anwendungen mit diesem Verhalten ist diese Methode jedoch äußerst unpraktisch.
Plattform: Android, iOS
Beschreibung: Nennen Sie eine Möglichkeit, die Berechtigungen zu erhöhen. Ein Gegner versucht möglicherweise, schädlichen Code im Kernel des Betriebssystems oder in Komponenten der Startpartition zu platzieren, wo der Code nicht erkannt werden kann. Er wird nach dem Neustart des Geräts gespeichert und kann vom Benutzer nicht gelöscht werden. In einigen Fällen (z. B. bei Verwendung von
Samsung Knox ) kann ein Angriff erkannt werden, der jedoch zur Übertragung des Geräts in den eingeschränkten Funktionsmodus führt.
Viele Android-Geräte bieten die Möglichkeit, den Bootloader für Entwicklungszwecke zu entsperren. Diese Funktionalität bietet jedoch die Möglichkeit, den Kernel in böswilliger Absicht zu aktualisieren oder den Boot-Partitionscode zu ändern. Wenn der Bootloader nicht entsperrt ist, besteht weiterhin das Potenzial, Schwachstellen auszunutzen, um den Kernelcode zu aktualisieren.
Schutzempfehlungen
: Installieren Sie Sicherheitsupdates, implementieren Sie Remote-Zertifizierungssysteme (Android SafetyNet, Samsung KNOX TIMA) und blockieren Sie den Zugriff auf Unternehmensressourcen für nicht zertifizierte Geräte. Organisieren Sie eine Überprüfung des Bootloader-Sperrstatus auf Geräten, die das Entsperren des Bootloaders ermöglichen (sodass jeder Betriebssystemcode auf das Gerät geschrieben werden kann).
Die Android SafetyNet Attestation API kann verwendet werden, um gefährdete Geräte aus der Ferne zu identifizieren und darauf zu reagieren. Samsung KNOX bietet die Möglichkeit, Samsung Android-Geräte aus der Ferne zu validieren. Samsung KNOX-Geräte verfügen über eine „nicht umkehrbare Knox-Garantie-Bit-Sicherung“, die funktioniert, wenn ein Nicht-KNOX-Kernel auf das Gerät geladen ist. Bei Auslösung sind Enterprise KNOX-Containerdienste auf dem Gerät nicht verfügbar. Wie im iOS-Sicherheitshandbuch beschrieben, können iOS-Geräte nicht gestartet oder die Geräteaktivierung zugelassen werden, wenn nicht autorisierte Änderungen erkannt werden. Viele Unternehmensanwendungen führen ihre eigenen Überprüfungen durch, um gefährdete Geräte zu erkennen und darauf zu reagieren. Solche Überprüfungen sind kein zuverlässiges Mittel, können jedoch die primären Anzeichen eines Kompromisses erkennen.
Plattform: Android, iOS
Beschreibung: Wenn ein Gegner die Berechtigungen erhöhen kann, kann er damit schädlichen Code in die Systempartition des Geräts einfügen, wo er nach dem Neustart des Betriebssystems verbleibt und für den Benutzer nicht leicht zugänglich ist. Auf vielen Android-Geräten können Sie den Bootloader für Entwicklungszwecke entsperren. Diese Funktion kann auch von einem Gegner verwendet werden, um eine Systempartition zu ändern.
Schutzempfehlungen: Android-Geräte mit Verified Boot-Unterstützung führen eine kryptografische Überprüfung der Integrität der Systempartition durch. Die Android SafetyNet-API kann verwendet werden, um gefährdete Geräte zu identifizieren. Samsung KNOX bietet auch die Möglichkeit, unterstützte Geräte fernzusteuern. IOS-Geräte booten nicht oder erlauben nicht die Aktivierung eines Geräts, bei dem nicht autorisierte Änderungen erkannt werden.
Plattform: Android
Beschreibung: Mit den entsprechenden Berechtigungen kann ein Angreifer versuchen, bösartigen Code in einer vertrauenswürdigen Laufzeit (TEE) eines Geräts oder einer anderen ähnlichen isolierten Laufzeit zu platzieren, in der der Code nicht erkannt werden kann. Er wird nach dem Neustart des Geräts gespeichert und kann vom Benutzer nicht gelöscht werden. Das Ausführen von Code in TEE bietet einem Gegner die Möglichkeit, den Gerätebetrieb zu steuern oder zu verfälschen.
Sicherheitstipps: Geräte sollten Integritätsprüfungen für den Code durchführen, der beim Booten in TEE ausgeführt wird. iOS wird nicht gestartet, wenn der in Secure Enclave ausgeführte Code die Überprüfung der digitalen Signatur nicht besteht.
Plattform: Android
Beschreibung: Um die Leistung zu verbessern, kompiliert Android Runtime (ART) den Bytecode (classes.dex) während der Anwendungsinstallation in Maschinencode. Wenn ein Angreifer Berechtigungen erhöht, kann er diesen zwischengespeicherten Code ändern. Da der Code ursprünglich auf dem Gerät kompiliert wurde, wird im Gegensatz zum Code von der Systempartition keine Integritätskontrolle auf das Gerät angewendet.
Schutzempfehlungen: Verwenden Sie die neuesten Versionen des mobilen Betriebssystems und die obligatorische Installation von Sicherheitspatches.
Plattform: Android, iOS
Beschreibung: Schädliche Anwendungen können die nicht gepatchten Schwachstellen des mobilen Betriebssystems ausnutzen, um erweiterte Berechtigungen zu erhalten.
Schutzempfehlungen: Überprüfen Sie die Anwendung auf bekannte Sicherheitslücken. Installieren Sie Sicherheitsupdates. Verwenden der neuesten Betriebssystemversionen.
Plattform: Android
Beschreibung: Schädliche Anwendungen oder andere Angriffsmethoden können verwendet werden, um Schwachstellen in Code auszunutzen, der in einer vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) ausgeführt wird. Der Gegner kann dann die Berechtigungen von TEE erhalten, einschließlich der Möglichkeit, auf kryptografische Schlüssel oder andere vertrauliche Daten zuzugreifen. Um TEE anzugreifen, benötigt ein Gegner möglicherweise zuerst erhöhte Betriebssystemberechtigungen. Wenn nicht, können TEE-Berechtigungen verwendet werden, um Betriebssystemschwachstellen auszunutzen.
Schutzempfehlungen: Überprüfen Sie die Anwendung auf bekannte Sicherheitslücken. Installieren Sie Sicherheitsupdates. Verwenden der neuesten Betriebssystemversionen.