Tautan ke semua bagian:Bagian 1. Akses Awal ke Perangkat Seluler (Akses Awal)Bagian 2. Kegigihan dan EskalasiBagian 3. Mendapatkan Akses Kredensial (Akses Kredensial)Bagian 4. Pertahanan EvasionBagian 5. Penemuan dan Gerakan LateralSaya memulai seri publikasi berikutnya ( lihat yang sebelumnya ) yang ditujukan untuk mempelajari taktik dan teknik untuk mengimplementasikan serangan hacker, termasuk dalam basis pengetahuan MITER ATT & CK. Bagian ini akan menjelaskan teknik yang digunakan oleh penjahat cyber di setiap tahap rantai serangan pada perangkat seluler.Di bawah cut - vektor utama perangkat seluler yang dikompromikan, yang bertujuan untuk mendapatkan "kehadiran" oleh penyerang dalam sistem yang diserang.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang diterbitkan adalah pengungkapan ulang gratis konten Matriks Seluler ATT @ CK: Akses Perangkat .Platform: Android, iOS
Deskripsi: Aplikasi berbahaya adalah cara paling umum bagi penyerang untuk "hadir" di perangkat seluler. OS Seluler sering dikonfigurasikan untuk menginstal aplikasi hanya dari toko resmi (Google Play Store atau Apple App Store), sehingga musuh dapat mencoba menempatkan aplikasi jahatnya di toko aplikasi resmi.
Toko aplikasi biasanya memerlukan pendaftaran pengembang dan memiliki alat untuk mendeteksi aplikasi jahat, tetapi lawan dapat menggunakan beberapa cara untuk memintas perlindungan toko:
- Unduh kode berbahaya selama eksekusi aplikasi setelah menginstalnya dari toko aplikasi;
- Kebingungan file dan informasi;
- Penggunaan kredensial dan tanda tangan digital yang dikompromikan dari pengembang aplikasi seluler yang bonafide;
- Menguji kemungkinan melewati sistem untuk analisis otomatis keamanan aplikasi seluler di toko aplikasi.
Musuh dapat dengan sengaja menempatkan kode berbahaya dalam aplikasi untuk menentukan apakah kode itu berfungsi di lingkungan analisis keamanan toko target dan, jika perlu, menonaktifkan peluncuran konten berbahaya selama analisis. Penyerang juga dapat menggunakan identitas palsu, kartu pembayaran, dll. saat membuat akun pengembang untuk publikasi lebih lanjut dari aplikasi berbahaya di toko.
Selain itu, lawan juga dapat menggunakan akun pengguna Google yang dikompromikan untuk mengambil keuntungan dari instalasi jarak jauh aplikasi pada perangkat android yang terkait dengan akun Google yang dikendalikan (menggunakan teknik ini Anda hanya dapat menginstal aplikasi dari Google Play Store dari jarak jauh).
Rekomendasi perlindungan: Dalam lingkungan perusahaan, disarankan untuk melakukan pemeriksaan aplikasi untuk kerentanan dan tindakan yang tidak diinginkan (jahat atau melanggar kerahasiaan), menerapkan kebijakan pembatasan aplikasi atau Membawa Perangkat Anda Sendiri (BYOD) kebijakan (bawa perangkat Anda sendiri) yang memberlakukan pembatasan Hanya ke bagian perangkat yang dikendalikan perusahaan Pelatihan, pelatihan, dan panduan pengguna akan membantu mendukung konfigurasi tertentu dari perangkat perusahaan, dan kadang-kadang bahkan mencegah tindakan pengguna tertentu yang berisiko.
Sistem EMM / MDM atau solusi lain untuk melindungi perangkat seluler dapat secara otomatis mendeteksi aplikasi yang tidak diinginkan atau berbahaya pada perangkat perusahaan. Pengembang perangkat lunak biasanya memiliki kemampuan untuk memindai toko aplikasi untuk aplikasi yang tidak sah yang dikirim menggunakan ID pengembang mereka.
Platform: Android, iOS
Deskripsi: Meskipun ada kemungkinan pelarangan menginstal aplikasi dari sumber pihak ketiga pada perangkat target, musuh dapat dengan sengaja menghindari menempatkan aplikasi jahat di toko aplikasi resmi untuk mengurangi risiko deteksi potensial.
Metode pengiriman aplikasi alternatif:- Lampiran Spearphishing - aplikasi sebagai lampiran pesan email;
- Tautan phishing - tautan ke paket aplikasi seluler dalam email atau pesan teks (SMS, iMessage, Hangouts, WhatsApp, dll.), Situs web, kode QR b, dll;
- Toko aplikasi pihak ketiga - aplikasi diterbitkan di toko aplikasi, di mana tidak ada kontrol keamanan yang mirip dengan toko resmi.
Dalam kasus iOS, musuh juga dapat mencoba mendapatkan pasangan kunci dan sertifikat kunci distribusi Perusahaan untuk menyebarkan aplikasi jahat tanpa menerbitkan ke AppStore.
Rekomendasi perlindungan: Di iOS, mengaktifkan parameter
allowEnterpriseAppTrust dan
allowEnterpriseAppTrustModification akan mencegah pengguna menginstal aplikasi yang ditandatangani oleh kunci distribusi Enterprise.
iOS versi 9 dan di atasnya membutuhkan persetujuan eksplisit dari pengguna untuk menginstal aplikasi kunci distribusi Enterprise yang ditandatangani bukan dari AppStore, sehingga pengguna harus dilatih untuk tidak setuju untuk menginstal aplikasi jika mereka tidak yakin tentang sumber distribusi aplikasi.
Di Android, untuk menginstal aplikasi dari sumber pihak ketiga, parameter "Sumber Tidak Dikenal" harus diaktifkan, sehingga pengguna harus dilatih dalam mengaktifkan dan mengendalikan parameter ini.
EMM / MDM atau solusi lain untuk melindungi perangkat seluler dapat mengidentifikasi keberadaan aplikasi yang diinstal dari sumber pihak ketiga, mengidentifikasi perangkat Android yang diizinkan untuk menginstal aplikasi dari sumber pihak ketiga, dan menentukan keberadaan paket aplikasi Android atau iOS dalam pesan email.
Platform: Android, iOS
Deskripsi: Musuh dapat memperoleh akses ke sistem seluler melalui unduhan kode tersembunyi, yang dijalankan ketika pengguna mengunjungi situs web yang dikendalikan oleh penyerang. Penerapan teknik ini membutuhkan kerentanan yang sesuai di browser web pengguna. Misalnya, situs web dapat berisi konten media berbahaya yang dirancang untuk mengeksploitasi
kerentanan Stagefright di Android.
Rekomendasi perlindungan: Beli perangkat dari pemasok atau operator seluler yang menjamin penyediaan pembaruan keamanan yang segera. Anda harus berhenti menggunakan perangkat rentan yang tidak menerima pembaruan keamanan karena berakhirnya masa dukungan.
Dalam lingkungan perusahaan, disarankan untuk membatasi dan memblokir akses ke sumber daya perusahaan dari perangkat seluler yang tidak menginstal pembaruan keamanan terbaru. Akses dari perangkat Android dapat dikontrol berdasarkan tambalan. Akses dari perangkat iOS dapat dikendalikan berdasarkan versi OS.
Disarankan untuk hanya menggunakan versi terbaru dari sistem operasi seluler, yang, sebagai suatu peraturan, tidak hanya berisi tambalan, tetapi juga memiliki arsitektur keamanan yang ditingkatkan yang memberikan perlawanan terhadap kerentanan yang sebelumnya tidak terdeteksi.
Platform: Android, iOS
Deskripsi: Perangkat seluler dapat dihubungkan (biasanya melalui USB) ke stasiun pengisian daya atau PC yang dikompromikan, yang dengannya musuh dapat mencoba untuk mendapatkan akses ke perangkat.
Demonstrasi terkenal dari serangan yang berhasil:
- Pengenalan aplikasi berbahaya di perangkat iOS ( sumber );
- Mengeksploitasi kerentanan Nexus 6 atau 6P melalui USB, termasuk mencegat panggilan telepon, lalu lintas jaringan dan menerima data tentang lokasi fisik perangkat;
- Memanfaatkan kerentanan Android melalui USB menggunakan contoh Google Pixel 2.
Produk Cellebrite dan Grayshift diharapkan menggunakan akses fisik ke port data untuk membuka kunci kata sandi pada beberapa perangkat iOS.
Rekomendasi perlindungan: Kebijakan keamanan perusahaan harus mencegah dimasukkannya USB debugging pada perangkat Android (jika ini tidak diperlukan, misalnya, ketika perangkat digunakan untuk pengembangan aplikasi). Pada perangkat yang menyediakan kemampuan untuk membuka kunci bootloader, memungkinkan Anda untuk memodifikasi firmware, pemeriksaan berkala diperlukan untuk benar-benar mengunci bootloader.
Anda tidak disarankan menggunakan stasiun pengisian daya publik atau komputer untuk mengisi daya perangkat Anda. Memberi pengguna pengisi daya yang dibeli dari pemasok tepercaya. Pengguna tidak disarankan untuk menambahkan perangkat tepercaya kecuali diperlukan.
Deskripsi: Kerentanan dapat dieksploitasi melalui antarmuka komunikasi seluler atau antarmuka radio lainnya.
Eksploitasi Pita DasarPesan yang dikirim ke perangkat seluler melalui antarmuka radio (biasanya seluler, tetapi juga bluetooth, GPS, NFC,
Wi-Fi , dll.) Dapat mengeksploitasi
kerentanan dalam kode yang memproses pesan yang diterima (misalnya,
kerentanan pada Samsung S6) .
SMS berbahayaSMS dapat berisi konten yang dirancang untuk mengeksploitasi
kerentanan dalam penganalisa SMS pada perangkat penerima. SMS juga dapat berisi tautan ke situs web yang berisi konten jahat.
Kartu SIM yang rentan dapat dieksploitasi dan diprogram dari jarak jauh menggunakan pesan SMS.
Rekomendasi perlindungan: Beli perangkat dari pemasok atau operator seluler yang menjamin penyediaan pembaruan keamanan yang segera. Anda harus berhenti menggunakan perangkat rentan yang tidak menerima pembaruan keamanan karena berakhirnya masa dukungan.
Dalam lingkungan perusahaan, disarankan untuk membatasi dan memblokir akses ke sumber daya perusahaan dari perangkat seluler yang tidak menginstal pembaruan keamanan terbaru. Akses dari perangkat Android dapat dikontrol berdasarkan tambalan. Akses dari perangkat iOS dapat dikendalikan berdasarkan versi OS.
Disarankan untuk hanya menggunakan versi terbaru dari sistem operasi seluler, yang, sebagai suatu peraturan, tidak hanya berisi tambalan, tetapi juga memiliki arsitektur keamanan yang ditingkatkan yang memberikan perlawanan terhadap kerentanan yang sebelumnya tidak terdeteksi.
Platform: Android, iOS
Deskripsi: Musuh dapat mencoba memasang konfigurasi yang tidak aman atau berbahaya pada perangkat seluler menggunakan pesan phishing atau pesan teks yang berisi file konfigurasi sebagai lampiran atau tautan web ke parameter konfigurasi. Saat mengatur parameter konfigurasi, pengguna dapat diakali dengan menggunakan metode rekayasa sosial. Misalnya, sertifikat otoritas sertifikasi (CA) yang tidak diinginkan dapat ditempatkan di toko sertifikat tepercaya perangkat, yang meningkatkan kerentanan perangkat terhadap serangan manusia di tengah.
Di iOS, profil konfigurasi berbahaya dapat berisi sertifikat Certificate Authority (CA) yang tidak diinginkan atau pengaturan tidak aman lainnya, seperti alamat proxy atau server VPN yang tidak diinginkan untuk merutekan lalu lintas perangkat melalui sistem penyerang. Perangkat juga dapat didaftarkan dalam sistem manajemen perangkat seluler musuh (MDM).
Rekomendasi perlindungan: Di iOS 10.3 dan di atasnya, langkah tambahan telah ditambahkan yang memerlukan tindakan pengguna untuk menginstal sertifikat CA baru yang tepercaya. Pada Android, aplikasi yang kompatibel dengan Android 7 dan lebih tinggi (API level 24), secara default, hanya mempercayai sertifikat CA yang dikirimkan dengan OS, dan tidak ditambahkan oleh pengguna atau administrator, yang umumnya mengurangi kerentanan OS terhadap serangan orang tengah.
Sebagai aturan, parameter konfigurasi yang tidak aman atau berbahaya tidak disetel tanpa persetujuan pengguna, jadi pengguna harus menyadari bahwa mereka tidak boleh mengatur parameter konfigurasi yang tidak terduga (sertifikat CA, profil konfigurasi iOS, membuat koneksi ke MDM).
Di Android, pengguna dapat melihat sertifikat CA tepercaya melalui pengaturan perangkat untuk mengidentifikasi sertifikat yang mencurigakan. Sistem keamanan perusahaan untuk perangkat seluler juga dapat memeriksa anomali toko sertifikat secara otomatis.
Di iOS, pengguna dapat melihat profil konfigurasi yang diinstal melalui pengaturan perangkat dan mengidentifikasi profil yang mencurigakan. Demikian pula, sistem MDM dapat menggunakan API MDM iOS untuk memeriksa daftar profil yang diinstal untuk anomali.
Platform: Android, iOS
Deskripsi: Memiliki akses fisik ke perangkat seluler, musuh dapat mencoba memintas layar kunci perangkat.
Spoofing BiometrikMusuh dapat mencoba mengelabui mekanisme otentikasi biometrik. iOS meredakan sebagian serangan ini dengan membutuhkan kata sandi perangkat, bukan sidik jari, setelah setiap reboot dan 48 jam setelah pembukaan kunci terakhir. Android memiliki mekanisme perlindungan serupa.
Tebak kode buka kunci atau pencarian sederhanaMusuh dapat mencoba menebak atau dengan cara lain menebak kode akses, termasuk pengamatan fisik (sohulder surfing) saat pengguna menggunakan perangkat.
Eksploitasi layar kunci lainnyaAndroid 5 dan iOS 6 dan perangkat seluler lainnya secara berkala menunjukkan cara memanfaatkan kerentanan untuk memintas layar kunci. Kerentanan biasanya diperbaiki oleh perangkat atau pengembang OS segera setelah mereka menyadari keberadaannya.
Rekomendasi perlindungan: Kebijakan keamanan perusahaan untuk perangkat seluler harus menetapkan persyaratan untuk kompleksitas kata sandi pada perangkat. Kebijakan perusahaan dapat mencakup penghancuran otomatis semua data pada perangkat ketika berulang kali memasukkan kata sandi yang salah. Kedua kebijakan ini ditujukan untuk mencegah serangan brute force, menebak atau "memata-matai" kode akses.
Jika perlu, kebijakan perusahaan juga dapat melarang otentikasi biometrik. Namun, otentikasi biometrik lebih nyaman daripada menggunakan kode akses yang panjang dan kompleks, karena Anda tidak harus memasukkannya setiap waktu.
Anda disarankan untuk menginstal pembaruan keamanan dan menggunakan OS seluler versi terbaru.
Platform: Android, iOS
Deskripsi: Musuh dapat mengunduh aplikasi, membongkar, menambahkan kode berbahaya, dan kemudian memasang kembali (
contoh ). Aplikasi yang dibangun kembali akan terlihat seperti aslinya, tetapi berisi fungsi jahat tambahan. Kemudian, aplikasi semacam itu dapat dipublikasikan di toko aplikasi atau dikirim ke perangkat menggunakan teknik lain.
Rekomendasi perlindungan: Instal aplikasi hanya dari toko resmi yang kecil kemungkinan mengandung aplikasi yang dikemas ulang berbahaya.
Sistem EMM / MDM dan alat keamanan aplikasi seluler tingkat perusahaan lainnya dapat secara otomatis mendeteksi aplikasi yang tidak diinginkan, tidak dikenal, tidak aman, atau jahat pada perangkat.
Platform: Android, iOS
Deskripsi: Kompromi rantai pasokan adalah modifikasi produk perangkat lunak dan mekanisme pengiriman produk sebelum diterima oleh konsumen untuk mengkompromikan data atau sistem. Lawan dapat mengeksploitasi kerentanan yang tidak disengaja, sehingga dalam banyak kasus sulit untuk menentukan apakah fungsi yang rentan adalah hasil dari kesalahan berbahaya atau tidak disengaja.
Identifikasi kerentanan di pustaka perangkat lunak pihak ketigaPerpustakaan pihak ketiga yang termasuk dalam aplikasi seluler dapat berisi kode berbahaya yang melanggar privasi atau menciptakan kerentanan. Ada beberapa contoh masalah kerentanan dan keamanan yang dikenal di perpustakaan iklan seluler.
Distribusi alat pengembangan perangkat lunak berbahayaSeperti yang
ditunjukkan oleh serangan
XcodeGhost , pengembang aplikasi dapat menggunakan versi modifikasi alat pengembangan perangkat lunak (misalnya, kompiler) yang secara otomatis menyuntikkan kode berbahaya atau kerentanan ke dalam aplikasi.
Rekomendasi perlindungan: Perpustakaan pihak ketiga yang tidak aman dapat dideteksi dengan berbagai metode verifikasi aplikasi. Misalnya, Program Peningkatan Keamanan Aplikasi Google mendeteksi penggunaan perpustakaan pihak ketiga dengan kerentanan yang diketahui dalam aplikasi Android yang tersedia di Google Play store. Alat pengembangan malware dan alat pengembang perangkat lunak yang dimodifikasi dapat dideteksi menggunakan sistem pemantauan integritas file di komputer pengembang.