Angreifer auf Smartphones und Tablets aufspüren [Teil 2]

Autor
Sandro Bachmann
Veröffentlicht
04. Juni 2024

Haben Sie sich jemals gefragt, wie sicher Ihr Smartphone wirklich ist? Mit SMS als Einfallstor für Zero-Click-Exploits und der heimlichen Installation von Spionage-Software wie Pegasus über iMessages ist die Gefahr greifbar. Erfahren Sie, wie unser Toolset Angriffe entlang der Cyber Kill Chain erkennt und Risiken digitaler Bedrohungen minimiert.

Die Zunahme von Angriffen auf mobile Geräte zeigt auf, dass wir unsere Handys und Tablets unzureichend gegen Mal- und Stalkerware schützen. Und dies, obwohl wir mit diesen Geräten sensitive Daten wie Zahlungsdaten, E-Mails und Fotos immer und überall herumtragen. Eine wirkungsvolle Cyberabwehr ist deshalb mehr als angebracht.

Wir haben im ersten Teil dieser Blogserie Empfehlungen zum Umgang mit bösartigen Apps und vernachlässigten Bibliotheken für Sie zusammengestellt. In diesem zweiten Teil untersuchen wir drei unterschiedliche Schwachstellen, die Angreifer als beliebte Einfallstore für ihre kriminellen Aktivitäten auf Mobilgeräten nutzen.

BLASTPASS - Initialer Vektor

Ein beliebter Initialvektor im Bereich der Infizierung von mobilen Geräten ist die Möglichkeit über SMS, was auf Apple-Geräten mit iMessages einhergeht. iMessage verfügt über die Möglichkeit, sowohl SMS als auch iMessages zu prozessieren. Standardmässig ist es somit möglich, von einem beliebigen Absender eine Nachricht zu erhalten, welche vom Empfänger-Smartphone direkt verarbeitet wird.

 

Zero Click Vulnerabilities:

Der Eintrittsvektor SMS eignet sich besonders gut für Zero-Click-Exploits. Da hierbei für die Infektion der Geräte keine Interaktion der Benutzer*innen notwendig ist und sich diese sich so gänzlich unbemerkt ausbreiten kann.

 

Gefahr droht insbesondere dann, wenn ein mobiles Endgerät eine Schwachstelle aufweist, welche beispielsweise über iMessages ausgenutzt werden kann. Es ist davon auszugehen, dass solche Schwachstellen gezielt gesucht werden, um mobile Geräte über den Eintrittsvektor iMessage zu kompromittieren.

Aufgrund der Komplexität bei der Suche nach geeigneten Schwachstellen und der Entwicklung anforderungskonformer Exploits wird ein Akteur zögern, solche Exploits breit einzusetzen. Stattdessen werden sie gezielt genutzt, um möglichst unentdeckt und zuverlässig zu funktionieren. Die Wahrscheinlichkeit, dass Angreifer über einen längeren Zeitraum unentdeckt bleiben, verringert sich, wenn sie den Exploit nicht unnötig einsetzen:

 

Ein Exploit ist eine Software, die eine Sicherheitslücke gezielt ausnutzt, um bösartige Codes zu starten oder Malware zu installieren und auszuführen.

 

infoguard-blog-csirt-mobile-forensik-T2-Abbildung 1

Abbildung 1: Überprüfung auf Indikatoren des initalen Angriffsvektors SMS mit InfoGuard-Toolset

 

Eine solche Schwachstelle ist BLASTPASS (CVE-2023-41064), mit welcher maliziöse Passkit-Dateien als SMS-Attachments (wie Tickets und Pässe) verwendet wurden. Diese Schwachstelle wurde durch Citizen Lab bei der Überprüfung eines Mitarbeitenden-Smartphones einer international tätigen Organisation festgestellt. Die Ausnutzung der Schwachstelle diente dem Zweck, die Spionage-Software Pegasus auf dem Smartphone eines Mitarbeitenden zu platzieren.

Entsprechend empfiehlt es sich mit einem Compromise Assessment die regelmässige Überprüfung von Smartphones von besonders exponierten Mitarbeitenden mit Zugang zu äusserst geschäftskritischen Informationen.

Compromise Assessment

iShutdown - Persistenz

Für Angreifer steht die Persistenz auf dem Zielgerät im Vordergrund. Entsprechend versuchen sich Angreifer einzunisten, so dass beispielsweise ein Neustart des Geräts überlebt werden kann. Persistenzen hinterlassen jedoch oft Spuren, die forensisch leicht zu erkennen sind, indem bekannte Methoden zum Starten von Prozessen überprüft werden.

Was passiert, wenn die Persistenz aufgrund der Systemarchitektur schwerer zu erreichen ist und der Angreifer bewusst auf diese Methode verzichtet? Spyware wie Pegasus, Reign und Predator müssen ihr Ziel meist nach einem Neustart neu infizieren; beispielsweise über Schwachstellen wie die zuvor genannte BLASTPASS-Schwachstelle. Der Exploit für diese Schwachstelle sollte aufgrund des Detektionsrisikos nicht unnötig oft eingesetzt werden. Der Angreifer hingegen möchte sein Ziel immer überwachen können. Dazu ist er angewiesen, das Gerät nach einem Neustart möglichst rasch neu zu infizieren.

Forscher der Sicherheitsfirma Kaspersky haben eine Möglichkeit entdeckt, Indikatoren für eine Infizierung mit Spyware feststellen zu können: Auf dem iPhone wird jeder Neustart des Geräts, mit deren Charakteristiken aufgezeichnet. In diesen Charakteristiken können verzögerte, durch Spyware verursachte Neustarts aufgedeckt werden, die aufgrund der bekannten Systempfade in diesen Aufzeichnungen festgestellt wurden.

blog-mobile-forensik-teil2-Abbildung 2

Abbildung 2: Analyse der Shutdownzyklen mit Toolset

 

Neben der Akquise eines verschlüsselten iTunes-Backups sollte zuvor eine sogenannte Sysdiagnose- Logdatei mittels Drücken einer besonderen Tastenkombination manuell erstellt werden. Die erstellte Archivdatei kann dann separat oder zusammen mit dem verschlüsselten iTunes-Backup zur Analyse an die InfoGuard übermittelt werden. Mit einem Compromise Assessment stellen wir unseren Kunden detaillierte Anleitungen zur Verfügung. Selbstverständlich kann ein Smartphone auch physisch unsere Expert*innen übergeben werden, was in einigen Fällen, abhängig von der Granularität der Untersuchung, auch erforderlich sein kann.    

Wir empfehlen eine regelmässige Überprüfung der Sysdiagnose-Informationen, nach den neusten Indikatoren einer Kompromittierung. Hierzu zählt beispielsweise auch die Auswertung des Shutdown-Logs, welches Bestandteil der Sysdiagnose-Informationen ist.

Compromise Assessment

Überprivilegierte Applikationen – Privilege Escalation

Existiert eine einfache Methode, um auf mobilen Endgeräten die gewünschten Berechtigungen für eine Schadsoftware zu erlangen? Leider ja. Wenn nämlich Benutzer*innen zur Installation und mittels Manipulation zur Genehmigung der angeforderten Berechtigungen verleitet werden können. Durch forensische Analyse der entsprechenden Datenbanken können die in der Vergangenheit erteilten App-Berechtigungen detailliert aufgelistet, ausgewertet und einer Risikobewertung unterzogen werden.

infoguard-blog-csirt-mobile-forensik-T2-Abbildung 3

Abbildung 3: iPhone Berechtigungen für Applikationen

 

Sobald Angreifer über entsprechend hohe Systemprivilegien verfügen, ist unter Umständen für die entsprechenden Berechtigungen keine Benutzerinteraktion notwendig.

infoguard-blog-csirt-mobile-forensik-T2-Abbildung 4

Abbildung 4: Übersicht der verschiedenen Arten von Berechtigungen

 

Daher empfehlen wir, die Berechtigungen sämtlicher Applikationen regelmässig zu überprüfen. So können überprivilegierte oder gar unbekannte Applikationen entdeckt werden, was gegebenenfalls auch ein Indikator für eine Kompromittierung des Mobilgeräts sein kann.

infoguard-blog-csirt-mobile-forensik-T2-Abbildung 5

Abbildung 5: Analyse der Applikationsberechtigungen (hier: TCC-Datenbank unter iOS) mit Toolset

Mit Backups Angriffsspuren tracken

Zum Schutz gegen Cyberangriffe sind regelmässige, verschlüsselte Backups von Mobilgeräten unerlässlich. Darüber hinaus sollten die Backups über einen längeren Zeitraum aufbewahrt werden. Dies ermöglicht u.a. die Feststellung von länger zurückliegenden Kompromittierungen und einen gezielten Abgleich mit einem neueren Backup.

Für Unternehmen bieten unsere Expert*innen aus dem Cyber Defence Center ein Compromise Assessment für mobile Geräte an. Dazu werden Ihre Geschäfts-Smartphones einmalig oder in regelmässigen Abständen auf folgende Sicherheitslücken überprüft:

  • Spuren von vergangenen Kompromittierungen
  • Aktuelle Konfiguration auf die notwendige Systemhärtung und Sicherheit

Ausserdem geben wir Ihnen geeignete Massnahmen an die Hand, welche die Risiken einer digitalen Bedrohung minimieren und Sie bestmöglich auf einen Zwischenfall mit einem kompromittierten Smartphone vorbereiten.

Compromise Assessment

Wollen Sie zum Thema Cyber Defence und Cybersicherheit informiert bleiben? Dann abonnieren Sie jetzt unsere Blog-Updates. Sie erhalten künftig unsere Blogartikel bequem in Ihrem Posteingang.

Jetzt Blog-Updates abonnieren

 

Artikel teilen