Links para todas as partes:Parte 1. Acesso Inicial a um Dispositivo Móvel (Acesso Inicial)Parte 2. Persistência e EscaladaParte 3. Obtendo acesso à credencial (acesso à credencial)Parte 4. Evasão de DefesaParte 5. Descoberta e movimento lateralEstou iniciando a próxima série de publicações ( veja as anteriores ) dedicada ao estudo de táticas e técnicas para implementar ataques de hackers, incluídas na base de conhecimento do MITRE ATT & CK. A seção descreverá as técnicas usadas pelos cibercriminosos em todas as etapas da cadeia de ataques em dispositivos móveis.Sob o corte - os principais vetores de comprometimento dos dispositivos móveis, visando obter pelo atacante uma "presença" no sistema atacado.
O autor não é responsável pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por possíveis imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo de ATT @ CK Mobile Matrices: Device Access .Plataforma: Android, iOS
Descrição: aplicativos maliciosos são a maneira mais comum de um invasor "estar presente" em dispositivos móveis. Os SOs móveis geralmente são configurados para instalar aplicativos apenas de lojas autorizadas (Google Play Store ou Apple App Store), para que o adversário possa tentar colocar seu aplicativo malicioso em uma loja de aplicativos autorizada.
Os repositórios de aplicativos geralmente exigem registro do desenvolvedor e possuem ferramentas para detectar aplicativos maliciosos, mas os oponentes podem usar algumas maneiras de ignorar a proteção do repositório:
- Baixe o código malicioso durante a execução do aplicativo após instalá-lo na loja de aplicativos;
- Ofuscação de arquivos e informações;
- Uso de credenciais comprometidas e assinaturas digitais de desenvolvedores de aplicativos móveis de boa-fé;
- Testando a possibilidade de ignorar sistemas para análise automatizada da segurança de aplicativos móveis na loja de aplicativos.
Um adversário pode colocar intencionalmente código malicioso em um aplicativo para determinar se ele funciona no ambiente de análise de segurança do armazenamento de destino e, se necessário, desativar o lançamento de conteúdo malicioso durante a análise. Os invasores também podem usar identidades falsas, cartões de pagamento etc. ao criar contas de desenvolvedor para a publicação adicional de aplicativos maliciosos nas lojas.
Além disso, os oponentes também podem usar contas de usuário comprometidas do Google para aproveitar a instalação remota de aplicativos em dispositivos Android associados a uma conta controlada do Google (usando esta técnica, você só pode instalar aplicativos da Google Play Store remotamente).
Recomendações de proteção: em um ambiente corporativo, é recomendável realizar verificações de aplicativos em busca de vulnerabilidades e ações indesejadas (confidencialidade maliciosa ou violadora), implementar políticas de restrição de aplicativos ou políticas Bring Your Own Device (BYOD) (traga seu próprio dispositivo) que impõem restrições somente para a parte do dispositivo controlada pela empresa. Os treinamentos, treinamentos e guias do usuário ajudarão a oferecer suporte a uma certa configuração de dispositivos corporativos e, às vezes, até impedirão ações específicas de risco do usuário.
Os sistemas EMM / MDM ou outras soluções para proteger dispositivos móveis podem detectar automaticamente aplicativos indesejados ou mal-intencionados em dispositivos corporativos. Os desenvolvedores de software geralmente têm a capacidade de verificar os repositórios de aplicativos em busca de aplicativos não autorizados que foram enviados usando seu ID de desenvolvedor.
Plataforma: Android, iOS
Descrição: apesar da possível proibição de instalar aplicativos de fontes de terceiros no dispositivo de destino, um adversário pode evitar deliberadamente colocar um aplicativo mal-intencionado em lojas de aplicativos autorizadas para reduzir o risco de possível detecção.
Métodos alternativos de entrega de aplicativos:- Anexo de caça submarina - aplicativo como anexo a uma mensagem de email;
- Link de phishing - um link para um pacote de aplicativos móveis em um email ou mensagem de texto (SMS, iMessage, Hangouts, WhatsApp etc.), um site, um código QR b, etc.
- Armazenamento de aplicativos de terceiros - o aplicativo é publicado no armazenamento de aplicativos, no qual não há controle de segurança semelhante a um armazenamento autorizado.
No caso do iOS, um adversário também pode tentar obter um par de chaves e um certificado de chave de distribuição Enterprise para espalhar o aplicativo mal-intencionado sem publicar na AppStore.
Recomendações de proteção: no iOS, ativar os parâmetros
allowEnterpriseAppTrust e
allowEnterpriseAppTrustModification impedirá que os usuários instalem aplicativos assinados pela chave de distribuição Enterprise.
A versão 9 do iOS e acima requerem o consentimento explícito do usuário para instalar um aplicativo de chave de distribuição Enterprise assinado e não da AppStore, portanto, os usuários devem ser treinados para não concordar em instalar o aplicativo se não tiverem certeza da origem da distribuição do aplicativo.
No Android, para instalar aplicativos de fontes de terceiros, o parâmetro "Fontes desconhecidas" deve estar ativado, para que os usuários sejam treinados na ativação e controle desse parâmetro.
O EMM / MDM ou outras soluções para proteger dispositivos móveis podem identificar a presença de aplicativos instalados de fontes de terceiros, identificar dispositivos Android com permissão para instalar aplicativos de fontes de terceiros e determinar a presença de pacotes de aplicativos Android ou iOS em mensagens de email.
Plataforma: Android, iOS
Descrição: um adversário pode obter acesso a um sistema móvel por meio de um download oculto de código, que é executado quando um usuário visita um site controlado por um invasor. A implementação desta técnica requer uma vulnerabilidade correspondente no navegador da web do usuário. Por exemplo, um site pode conter conteúdo de mídia mal-intencionado projetado para explorar a
vulnerabilidade do
Stagefright no Android.
Recomendações de proteção: adquira dispositivos de fornecedores ou operadoras de celular que garantam o fornecimento imediato de atualizações de segurança. Você deve parar de usar dispositivos vulneráveis que não recebem atualizações de segurança devido à expiração do período de suporte.
Em um ambiente corporativo, é recomendável restringir e bloquear o acesso aos recursos corporativos a partir de dispositivos móveis nos quais as atualizações de segurança mais recentes não estão instaladas. O acesso a partir de dispositivos Android pode ser controlado com base em patches. O acesso a partir de dispositivos iOS pode ser controlado com base na versão do sistema operacional.
É recomendável usar apenas as versões mais recentes dos sistemas operacionais móveis, que, em regra, contêm não apenas patches, mas também uma arquitetura de segurança aprimorada que fornece resistência a vulnerabilidades anteriormente não detectadas.
Plataforma: Android, iOS
Descrição: um dispositivo móvel pode ser conectado (geralmente via USB) a uma estação de carregamento ou PC comprometida, com a qual um adversário pode tentar obter acesso ao dispositivo.
Demonstrações famosas de ataques bem-sucedidos:
Os produtos Cellebrite e Grayshift devem usar acesso físico às portas de dados para desbloquear senhas em alguns dispositivos iOS.
Recomendações de proteção: as políticas de segurança corporativa devem impedir a inclusão da depuração USB nos dispositivos Android (se isso não for necessário, por exemplo, quando o dispositivo for usado para o desenvolvimento de aplicativos). Em dispositivos que oferecem a capacidade de desbloquear o carregador de inicialização, permitindo modificar o firmware, são necessárias verificações periódicas para realmente bloquear o carregador de inicialização.
Não é recomendável usar estações de carregamento públicas ou computadores para carregar seus dispositivos. Forneça aos usuários carregadores adquiridos de um fornecedor confiável. Os usuários não são recomendados para adicionar dispositivos confiáveis, a menos que seja necessário.
Descrição: vulnerabilidades podem ser exploradas por meio da interface de comunicação celular ou outras interfaces de rádio.
Explorações da banda baseUma mensagem enviada para um dispositivo móvel por meio de uma interface de rádio (geralmente celular, mas também bluetooth, GPS, NFC,
Wi-Fi etc.) pode explorar
vulnerabilidades no código que processa a mensagem recebida (por exemplo, uma
vulnerabilidade no Samsung S6) .
SMS maliciosoUm SMS pode conter conteúdo projetado para explorar
vulnerabilidades no analisador de SMS no dispositivo receptor. O SMS também pode conter um link para um site que contém conteúdo malicioso.
Os cartões SIM vulneráveis podem ser explorados e reprogramados remotamente usando mensagens SMS.
Recomendações de proteção: adquira dispositivos de fornecedores ou operadoras de celular que garantam o fornecimento imediato de atualizações de segurança. Você deve parar de usar dispositivos vulneráveis que não recebem atualizações de segurança devido à expiração do período de suporte.
Em um ambiente corporativo, é recomendável restringir e bloquear o acesso aos recursos corporativos a partir de dispositivos móveis nos quais as atualizações de segurança mais recentes não estão instaladas. O acesso a partir de dispositivos Android pode ser controlado com base em patches. O acesso a partir de dispositivos iOS pode ser controlado com base na versão do sistema operacional.
É recomendável usar apenas as versões mais recentes dos sistemas operacionais móveis, que, em regra, contêm não apenas patches, mas também uma arquitetura de segurança aprimorada que fornece resistência a vulnerabilidades anteriormente não detectadas.
Plataforma: Android, iOS
Descrição: um adversário pode tentar instalar uma configuração não segura ou mal-intencionada em um dispositivo móvel usando uma mensagem de phishing ou uma mensagem de texto contendo um arquivo de configuração como anexo ou um link da Web para os parâmetros de configuração. Ao definir parâmetros de configuração, o usuário pode ser enganado usando métodos de engenharia social. Por exemplo, um certificado indesejado de uma autoridade de certificação (CA) pode ser colocado no repositório de certificados confiável do dispositivo, o que aumenta a suscetibilidade do dispositivo a ataques intermediários.
No iOS, os perfis de configuração maliciosa podem conter certificados de Autoridade de Certificação (CA) indesejados ou outras configurações inseguras, como o endereço de um proxy ou servidor VPN indesejado, para rotear o tráfego do dispositivo através de um sistema invasor. O dispositivo também pode ser registrado em um sistema de gerenciamento de dispositivos móveis (MDM) inimigo.
Recomendações de proteção: no iOS 10.3 e superior, foi adicionada uma etapa adicional que requer ação do usuário para instalar novos certificados de CA confiáveis. No Android, os aplicativos compatíveis com o Android 7 e superior (nível de API 24), por padrão, confiam apenas nos certificados de CA entregues com o sistema operacional e não adicionados pelo usuário ou administrador, o que geralmente reduz a suscetibilidade do sistema operacional a ataques de pessoas da meia-idade.
Como regra, parâmetros de configuração inseguros ou mal-intencionados não são definidos sem o consentimento do usuário; portanto, os usuários devem estar cientes de que não devem definir parâmetros de configuração inesperados (certificados de CA, perfis de configuração do iOS, estabelecendo uma conexão com o MDM).
No Android, um usuário pode exibir certificados de CA confiáveis por meio das configurações do dispositivo para identificar certificados suspeitos. Os sistemas de segurança corporativa para dispositivos móveis podem verificar o anomalias automaticamente no armazenamento de certificados.
No iOS, um usuário pode visualizar os perfis de configuração instalados por meio das configurações do dispositivo e identificar perfis suspeitos. Da mesma forma, os sistemas MDM podem usar a API MDM do iOS para verificar listas de perfis instalados quanto a anomalias.
Plataforma: Android, iOS
Descrição: com acesso físico a um dispositivo móvel, um adversário pode tentar ignorar a tela de bloqueio do dispositivo.
Spoofing biométricoUm adversário pode tentar enganar o mecanismo de autenticação biométrica. O iOS atenua parcialmente esse ataque, exigindo uma senha do dispositivo, não uma impressão digital, após cada reinicialização e 48 horas após o último desbloqueio. O Android possui mecanismos de proteção semelhantes.
Adivinhe o código de desbloqueio ou uma pesquisa simplesO adversário pode tentar adivinhar ou adivinhar o código de acesso, incluindo observação física (navegação mais intensa) enquanto o usuário estiver usando o dispositivo.
Outras explorações da tela de bloqueioO Android 5, iOS 6 e outros dispositivos móveis demonstram periodicamente como explorar vulnerabilidades para ignorar a tela de bloqueio. Geralmente, as vulnerabilidades são corrigidas pelo desenvolvedor do dispositivo ou do SO assim que elas se conscientizam de sua existência.
Recomendações de proteção: as políticas de segurança corporativa para dispositivos móveis devem definir requisitos para a complexidade da senha no dispositivo. A política corporativa pode incluir a destruição automática de todos os dados no dispositivo ao inserir repetidamente a senha incorreta. Ambas as políticas visam impedir ataques de força bruta, adivinhar ou "espionar" códigos de acesso.
Se necessário, a política corporativa também pode proibir a autenticação biométrica. No entanto, a autenticação biométrica é mais conveniente do que usar um código de acesso longo e complexo, porque você não precisa digitá-lo todas as vezes.
É recomendável que você instale atualizações de segurança e use as versões mais recentes do sistema operacional móvel.
Plataforma: Android, iOS
Descrição: um adversário pode baixar um aplicativo, desmontá-lo, adicionar código malicioso e remontá-lo (
exemplo ). O aplicativo reconstruído será parecido com o original, mas conterá funções maliciosas adicionais. Em seguida, esse aplicativo pode ser publicado nas lojas de aplicativos ou entregue ao dispositivo usando outras técnicas.
Recomendações de proteção: instale aplicativos apenas de lojas autorizadas com menor probabilidade de conter aplicativos reembalados maliciosos.
Os sistemas EMM / MDM e outros recursos de segurança de aplicativos móveis de nível empresarial podem detectar automaticamente aplicativos indesejados, desconhecidos, inseguros ou maliciosos nos dispositivos.
Plataforma: Android, iOS
Descrição: um comprometimento da cadeia de suprimentos é uma modificação de um produto de software e dos mecanismos de entrega do produto antes de serem recebidos pelo consumidor para comprometer dados ou um sistema. Os oponentes podem explorar vulnerabilidades não intencionais, portanto, em muitos casos, é difícil determinar se a funcionalidade vulnerável é o resultado de um erro malicioso ou não intencional.
Identificação de vulnerabilidades em bibliotecas de software de terceirosBibliotecas de terceiros incluídas em aplicativos móveis podem conter código malicioso que viola a privacidade ou cria vulnerabilidades. Existem exemplos conhecidos de vulnerabilidades e problemas de segurança nas bibliotecas de publicidade para dispositivos móveis.
Distribuição de ferramentas de desenvolvimento de software maliciosoComo o ataque do
XcodeGhost demonstrou , os desenvolvedores de aplicativos podem usar versões modificadas das ferramentas de desenvolvimento de software (por exemplo, compiladores) que injetam automaticamente códigos maliciosos ou vulnerabilidades no aplicativo.
Recomendações de proteção: Bibliotecas de terceiros inseguras podem ser detectadas por vários métodos de verificação de aplicativos. Por exemplo, o Google Application Security Improvement Program detecta o uso de bibliotecas de terceiros com vulnerabilidades conhecidas nos aplicativos Android disponíveis na loja Google Play. As ferramentas de desenvolvimento de malware e as ferramentas modificadas de desenvolvedores de software podem ser detectadas usando sistemas de monitoramento de integridade de arquivos nos computadores dos desenvolvedores.