Penemuan dan Gerakan Lateral
Tautan ke semua bagian:Bagian 1. Akses Awal ke Perangkat Seluler (Akses Awal)Bagian 2. Kegigihan dan EskalasiBagian 3. Mendapatkan Akses Kredensial (Akses Kredensial)Bagian 4. Pertahanan EvasionSetelah memperoleh akses ke perangkat seluler, musuh mungkin akan mencoba menggunakan cara biasa dari sistem operasi untuk "melihat-lihat," untuk memahami apa keuntungan yang telah diperoleh, apakah itu membantu untuk mencapai tujuan invasi. Tahap serangan ini disebut Discovery. Teknik survei ditujukan untuk memperoleh informasi tentang karakteristik perangkat seluler yang dikompromikan, serta sistem jaringan lain yang tersedia.
Setelah menilai kemampuan yang tersedia di lingkungan yang diserang, musuh akan mencoba untuk mendapatkan akses ke sistem jarak jauh, dan, mungkin, kendali atas mereka, akan berusaha meluncurkan alat jahat pada sistem jarak jauh. Aktivitas yang dijelaskan disebut Gerakan Lateral. Metode perpindahan lateral juga termasuk cara mengumpulkan informasi dari sistem jarak jauh tanpa menggunakan alat tambahan, seperti utilitas RAT (Alat Akses Jarak Jauh).
Penulis tidak bertanggung jawab atas kemungkinan konsekuensi penerapan informasi yang terkandung dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang diterbitkan adalah pengungkapan ulang gratis konten Matriks Seluler ATT @ CK: Akses Perangkat .Platform: Android, iOS
Deskripsi: Untuk mengidentifikasi alat keamanan dalam sistem yang sedang diserang, penyerang dapat mencoba mengidentifikasi aplikasi yang diinstal pada perangkat yang dapat meningkatkan risiko mendeteksi aktivitas berbahaya, atau sebaliknya, untuk mengidentifikasi aplikasi yang akan ditargetkan oleh serangan lebih lanjut.
Di Android, aplikasi dapat menggunakan
metode kelas
PackageManager untuk mendaftar aplikasi lain atau objek lain dengan akses baris perintah untuk menggunakan perintah
pm . Di iOS, aplikasi dapat menggunakan panggilan API pribadi untuk mendapatkan daftar aplikasi yang diinstal pada perangkat. Namun, aplikasi yang menggunakan panggilan API pribadi mungkin tidak akan diterima di AppStore.
Rekomendasi perlindungan: Metode verifikasi aplikasi harus mencakup cara untuk mengidentifikasi aplikasi yang menggunakan kelas
PackageManager untuk mendaftar aplikasi lain, tetapi pendekatan ini mungkin tidak praktis karena banyak aplikasi memanggil metode dari kelas
PackageManager sebagai bagian dari pekerjaan reguler mereka. Di iOS, alat verifikasi aplikasi juga dapat mencari panggilan API pribadi.
Platform: Android
Deskripsi: Di Android, informasi jenis perangkat tersedia melalui kelas
android.os.Build . Informasi perangkat dapat digunakan untuk mengeksploitasi eksploitasi bertarget lebih lanjut yang meningkatkan hak istimewa.
Rekomendasi perlindungan: Selama pemeriksaan pendahuluan, aplikasi yang menggunakan kelas
android.os.Build mungkin terdeteksi, namun, langkah ini tidak efektif, karena banyak aplikasi menggunakan fungsi ini sebagai bagian dari pekerjaan rutin.
Platform: Android
Deskripsi: Untuk membuat daftar konten sistem file di Android, Anda dapat menggunakan alat baris perintah atau Java API untuk bekerja dengan file. Namun, di Linux dan SELinux, akses aplikasi ke file biasanya sangat terbatas (kecuali jika Anda menggunakan exploit untuk meningkatkan privilege). Biasanya, aplikasi dapat mengakses konten penyimpanan eksternal, jadi menyimpan data rahasia di sana secara tidak patut harus menjadi perhatian. Arsitektur keamanan iOS biasanya membatasi kemampuan untuk mendeteksi file dan direktori tanpa memiliki hak istimewa yang diperluas.
Rekomendasi perlindungan: Kemungkinan peningkatan hak istimewa menjadi rumit dengan setiap versi Android dan iOS yang baru. Dalam versi Android terbaru, kotak pasir telah diperkuat, membatasi kemampuan aplikasi untuk membuat daftar isi sistem file.
Platform: Android, iOS
Deskripsi: Menggunakan pemindai port dan kerentanan, penyerang dapat mencoba untuk mendapatkan daftar layanan yang berjalan pada perangkat jarak jauh, termasuk yang memiliki kerentanan eksploitasi jarak jauh. Kehadiran perangkat seluler yang terhubung ke jaringan internal perusahaan melalui koneksi lokal atau VPN dapat dianggap oleh musuh sebagai potensi keuntungan.
Platform: Android
Deskripsi: Di Android hingga versi 5, aplikasi dapat menerima informasi tentang proses lain yang dijalankan melalui metode kelas
ActivityManager . Pada Android yang lebih lama dari versi 7, aplikasi dapat memperoleh informasi ini dengan menjalankan perintah
ps atau dengan "memeriksa" direktori
/ proc . Dimulai dengan Android 7, menggunakan fungsi kernel
Linux hidepid mencegah aplikasi tanpa hak istimewa untuk menerima informasi tentang proses lain.
Rekomendasi perlindungan: Menggunakan OS Android versi 7 dan lebih tinggi.
Platform: Android, iOS
Deskripsi: Penyerang dapat mencoba memperoleh informasi terperinci tentang sistem operasi dan perangkat keras, termasuk versi, perbaikan yang diinstal, dan arsitektur. Di Android, sebagian besar informasi sistem tersedia melalui kelas
android.os.Build . Di iOS, ada juga metode di mana aplikasi dapat mengakses informasi sistem.
Platform: Android
Deskripsi: Di Android, detail konfigurasi antarmuka jaringan tertanam tersedia untuk aplikasi melalui kelas
java.net.NetworkInteface . Kelas
TelephonyManager dapat digunakan untuk mengumpulkan informasi seperti IMSI, IMEI, dan nomor telepon.
Rekomendasi perlindungan: Analisis awal aplikasi harus mencakup memeriksa
apakah aplikasi tersebut meminta izin
ACCESS_NETWORK_STATE (diperlukan untuk mengakses informasi
NetworkInterface ) atau
READ_PHONE_STATE (diperlukan untuk mengakses informasi
TelephonyManager ). Dimulai dengan Android 6.0, aplikasi tidak dapat mengakses alamat MAC dari antarmuka jaringan.
Platform: Android
Deskripsi: Aplikasi dapat menggunakan API standar untuk mengumpulkan data tentang koneksi jaringan keluar dan masuk. Misalnya, aplikasi NetworkConnections yang tersedia di PlayMarket menyediakan fungsionalitas ini.
Platform: Android
Deskripsi: Untuk melakukan serangan pada PC yang terhubung ke perangkat seluler, musuh (yang memiliki hak istimewa) dapat membuat perubahan pada OS, setelah itu perangkat seluler akan menyamar sebagai perangkat USB: keyboard, mouse, perangkat penyimpanan informasi atau perangkat jaringan. Metode ini telah ditunjukkan di Android. Kemungkinan penerapan teknik ini di iOS tidak diketahui.
Rekomendasi
perlindungan: Pengguna disarankan untuk menghubungkan perangkat seluler ke PC hanya jika ada kebutuhan yang masuk akal (misalnya, jika ini diperlukan untuk mengembangkan dan men-debug aplikasi seluler).
Platform: Android, iOS
Deskripsi: Musuh dapat mencoba menggunakan server perusahaan, workstation, atau sumber daya lain yang tersedia melalui jaringan. Metode ini digunakan saat menghubungkan perangkat seluler ke jaringan perusahaan melalui koneksi lokal atau VPN.