Eskalasi Persistensi dan Privilege
Tautan ke semua bagian:Bagian 1. Akses Awal ke Perangkat Seluler (Akses Awal)Bagian 2. Kegigihan dan EskalasiBagian 3. Mendapatkan Akses Kredensial (Akses Kredensial)Bagian 4. Pertahanan EvasionBagian 5. Penemuan dan Gerakan LateralTeknik pinning menggambarkan cara memperoleh hak akses, mengubah konfigurasi perangkat seluler, dan tindakan lainnya, sebagai akibatnya penyerang memastikan bahwa kehadirannya dalam sistem konstan. Seringkali, musuh dipaksa untuk mempertahankan akses ke perangkat seluler meskipun OS berhenti karena reboot atau pengaturan ulang sistem ke pengaturan pabrik.
Setelah mendapatkan pijakan dalam sistem, musuh mendapat kesempatan untuk "masuk" ke perangkat seluler, tetapi mungkin dengan hak yang sangat terbatas. Namun, dengan mengambil keuntungan dari kelemahan pertahanan, musuh dapat memperoleh hak istimewa yang lebih tinggi yang diperlukan untuk mencapai tujuan serangan.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin timbul dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang diterbitkan adalah pengungkapan ulang gratis konten Matriks Seluler ATT @ CK: Akses Perangkat .Platform: Android
Deskripsi: Aplikasi jahat dapat meminta pengguna untuk hak administrator perangkat dan, jika hak istimewa diperoleh, melakukan manipulasi yang membuatnya sulit untuk menghapusnya.
Rekomendasi Perlindungan:Pra-Validasi AplikasiBiasanya, aplikasi jarang menggunakan akses administratif. Di lingkungan perusahaan, penyaringan awal aplikasi harus mengidentifikasi program-program semacam itu dengan tujuan studi menyeluruh lebih lanjut. Maggi dan Zanero menggambarkan
pendekatan melakukan analisis statis aplikasi untuk mengidentifikasi aplikasi ransomware yang menyalahgunakan akses administrator perangkat. Singkatnya, deteksi aplikasi ransomware terdiri dari deteksi dini indikator berikut dalam file apk: teks yang mengancam, kode yang terkait dengan pemblokiran penggunaan perangkat oleh perangkat (dialog yang tidak dapat dihapus, larangan tombol navigasi, mengisi layar dengan jendela, dll.), Enkripsi data atau penyalahgunaan API admin.
Perhatian saat menggunakan akses administrator perangkatPengguna perangkat seluler harus diperingatkan bahwa mereka tidak boleh menerima permintaan pemberian hak administrator untuk aplikasi. Selain itu, aplikasi harus diperiksa untuk penggunaan hak administrator sebelum instalasi, dan aplikasi yang diperlukan yang meminta akses administrator ke perangkat harus dipelajari dengan cermat dan diizinkan untuk digunakan hanya jika ada alasan yang bagus. Pengguna Android dapat melihat daftar aplikasi yang memiliki hak administrator dalam pengaturan perangkat.
Menggunakan versi OS terbaruVersi terbaru OS, tidak hanya berisi tambalan, tetapi juga memiliki arsitektur keamanan yang ditingkatkan yang memberikan ketahanan terhadap kerentanan yang sebelumnya tidak terdeteksi. Misalnya, Android 7 memperkenalkan perubahan untuk mencegah kemungkinan penyalahgunaan hak administrator.
Platform: Android
Deskripsi: Aplikasi Android dapat mendengarkan siaran pesan siaran BOOT_COMPLITED, yang menjamin aktivasi setiap kali perangkat dimulai, tanpa menunggu pengguna untuk memulai secara manual. BOOT_COMPLITED adalah acara siaran di Android, memberi tahu aplikasi tentang akhir proses boot OS. Aplikasi apa pun yang dilengkapi dengan penerima BroadcastRecevier khusus dapat menerima pesan siaran dan mengambil tindakan berdasarkannya.
Analisis 1260 aplikasi jahat untuk Android, yang diterbitkan pada 2012, menunjukkan bahwa 83,3% malware mendengarkan BOOT_COMPLITED.
Rekomendasi perlindungan: Dalam lingkungan perusahaan, dimungkinkan untuk mengatur verifikasi aplikasi untuk mengidentifikasi program yang mengumumkan BroadcastReceiver, yang berisi filter maksud oleh BOOT_COMPLITED. Namun, mengingat peningkatan besar dalam jumlah aplikasi dengan perilaku ini, metode ini sangat tidak praktis.
Platform: Android, iOS
Deskripsi: Beri nama peluang untuk meningkatkan hak istimewa, musuh dapat mencoba menempatkan kode berbahaya di kernel OS atau komponen partisi boot, di mana kode tidak dapat dideteksi, akan disimpan setelah perangkat di-boot ulang, dan tidak dapat dihapus oleh pengguna. Dalam beberapa kasus (misalnya, ketika menggunakan
Samsung Knox ), serangan dapat dideteksi, tetapi akan menyebabkan transfer perangkat ke mode fungsi terbatas.
Banyak perangkat Android menyediakan kemampuan untuk membuka kunci bootloader untuk tujuan pengembangan, tetapi fungsi ini menyediakan kemampuan untuk memperbarui kernel atau memodifikasi kode partisi boot. Jika bootloader tidak terbuka, maka sisa-sisa potensi mengeksploitasi kerentanan untuk memperbarui kode kernel.
Rekomendasi perlindungan: Instal pembaruan keamanan, terapkan sistem sertifikasi jarak jauh (Android SafetyNet, Samsung KNOX TIMA) dan blokir akses ke sumber daya perusahaan untuk perangkat yang tidak bersertifikat. Atur pemeriksaan status kunci bootloader pada perangkat yang memberikan kemampuan untuk membuka kunci bootloader (karenanya memungkinkan kode OS apa pun ditulis ke perangkat).
Android SafetyNet Attestation API dapat digunakan untuk mengidentifikasi dan merespons dari jarak jauh perangkat yang disusupi. Samsung KNOX menyediakan kemampuan untuk memvalidasi perangkat Android Samsung dari jarak jauh. Perangkat Samsung KNOX menyertakan "sekering bit garansi Knox yang tidak dapat dibalik" yang akan berfungsi jika kernel non-KNOX dimuat pada perangkat. Ketika dipicu, layanan kontainer perusahaan KNOX tidak akan tersedia di perangkat. Seperti yang dijelaskan dalam Panduan Keamanan iOS, perangkat iOS tidak dapat boot atau mengizinkan aktivasi perangkat jika terdeteksi perubahan yang tidak sah. Banyak aplikasi perusahaan melakukan pemeriksaan sendiri untuk mendeteksi dan merespons perangkat yang disusupi. Pemeriksaan semacam itu bukan cara yang andal, tetapi dapat mendeteksi tanda-tanda utama kompromi.
Platform: Android, iOS
Deskripsi: Jika musuh dapat meningkatkan hak istimewa, maka ia akan dapat menggunakannya untuk menempatkan kode berbahaya di partisi sistem perangkat, tempat ia akan disimpan setelah OS di-boot ulang dan tidak akan mudah diakses untuk dihapus oleh pengguna. Banyak perangkat Android memungkinkan Anda untuk membuka kunci bootloader untuk tujuan pengembangan. Fitur ini juga dapat digunakan oleh musuh untuk memodifikasi partisi sistem.
Rekomendasi perlindungan: Perangkat Android dengan dukungan Boot Terverifikasi melakukan verifikasi kriptografi tentang integritas partisi sistem. Android SafetyNet API dapat digunakan untuk mengidentifikasi perangkat yang disusupi. Samsung KNOX juga menyediakan kemampuan untuk mengontrol perangkat yang didukung dari jarak jauh. Perangkat iOS tidak akan boot atau tidak akan memungkinkan aktivasi perangkat di mana perubahan yang tidak sah terdeteksi.
Platform: Android
Deskripsi: Dengan hak istimewa yang sesuai, penyerang dapat mencoba menempatkan kode berbahaya dalam runtime tepercaya (TEE) perangkat atau runtime terisolasi serupa lainnya di mana kode tidak terdeteksi, kode akan disimpan setelah perangkat di-boot ulang dan tidak dapat dihapus oleh pengguna. Kode yang dieksekusi dalam TEE akan memberi lawan kemampuan untuk mengendalikan atau memalsukan operasi perangkat.
Kiat Keamanan: Perangkat harus melakukan pemeriksaan integritas pada kode yang berjalan di TEE saat boot. iOS tidak akan bisa boot jika kode yang berjalan di Enklave Aman gagal verifikasi tanda tangan digital.
Platform: Android
Deskripsi: Untuk meningkatkan kinerja, Android Runtime (ART) mengkompilasi bytecode (classes.dex) ke dalam kode mesin selama instalasi aplikasi. Jika seorang penyerang memunculkan hak istimewa, ia dapat memodifikasi kode cache ini. Karena kode ini awalnya dikompilasi di perangkat, kontrol integritas tidak diterapkan padanya, tidak seperti kode dari partisi sistem.
Rekomendasi perlindungan: Gunakan versi terbaru dari OS seluler dan instalasi wajib patch keamanan.
Platform: Android, iOS
Deskripsi: Aplikasi berbahaya dapat mengeksploitasi kerentanan OS seluler yang belum ditambal untuk mendapatkan hak istimewa lanjutan.
Rekomendasi perlindungan: Periksa aplikasi untuk mengetahui kerentanan yang diketahui. Instal pembaruan keamanan. Menggunakan versi OS terbaru.
Platform: Android
Deskripsi: Aplikasi berbahaya atau vektor serangan lainnya dapat digunakan untuk mengeksploitasi kerentanan dalam kode yang dieksekusi di Lingkungan Eksekusi Tepercaya (TEE). Musuh kemudian dapat memperoleh hak istimewa yang dimiliki TEE, termasuk kemampuan untuk mengakses kunci kriptografi atau data sensitif lainnya. Untuk menyerang TEE, musuh mungkin perlu hak istimewa OS yang lebih tinggi. Jika tidak, maka hak istimewa TEE dapat digunakan untuk mengeksploitasi kerentanan OS.
Rekomendasi perlindungan: Periksa aplikasi untuk mengetahui kerentanan yang diketahui. Instal pembaruan keamanan. Menggunakan versi OS terbaru.