Operacja Triangulation atakuje urządzenia z systemem iOS za pomocą nowego złośliwego oprogramowania

apple ios iphone

Podczas monitorowania ruchu sieciowego dedykowanej firmowej sieci Wi-Fi dla urządzeń mobilnych badacze z Securelist wykryli podejrzaną aktywność pochodzącą z wielu telefonów z systemem iOS. Ze względu na nieodłączne ograniczenia wewnętrznej kontroli nowoczesnych urządzeń z systemem iOS badacze zdecydowali się utworzyć kopie zapasowe danych urządzeń w trybie offline i przeanalizować je za pomocą narzędzia mvt-ios pakietu Mobile Verification Toolkit. Dzięki tej analizie odkryli dowody na kompromis, co doprowadziło do zidentyfikowania kampanii określanej jako „Operacja Triangulacja”.

Badając kopie zapasowe urządzeń mobilnych, które obejmują częściową replikę systemu plików, w tym bazy danych danych użytkowników i usług, badacze byli w stanie wykorzystać znaczniki czasu plików i folderów, a także rekordy bazy danych, aby zrekonstruować przybliżoną oś czasu zdarzeń na zaatakowanym komputerze. urządzenia. Narzędzie mvt-ios ułatwiło utworzenie posortowanego pliku osi czasu o nazwie „timeline.csv”, przypominającego superosie czasu wykorzystywane w tradycyjnych cyfrowych narzędziach kryminalistycznych.

Wykorzystując tę oś czasu, naukowcom udało się wskazać konkretne artefakty, które wskazywały na kompromis. To odkrycie przyspieszyło ich badania, pozwalając im nakreślić ogólną sekwencję infekcji w następujący sposób:

  • Docelowe urządzenie z systemem iOS otrzymuje wiadomość iMessage zawierającą załącznik zawierający exploity.
  • Wiadomość uruchamia lukę w urządzeniu, prowadzącą do wykonania kodu bez jakiejkolwiek interakcji użytkownika.
  • Exploit kontynuuje pobieranie kilku kolejnych etapów z serwera dowodzenia i kontroli (C&C), w tym exploitów zwiększających uprawnienia.
  • Po udanej eksploatacji z serwera C&C pobierana jest w pełni funkcjonalna platforma zaawansowanego trwałego zagrożenia (APT), służąca jako ostateczny ładunek.
  • Początkowa wiadomość i załącznik exploita są usuwane, aby zatrzeć ślady.

Ze względu na ograniczenia systemu operacyjnego złośliwemu zestawowi narzędzi brakuje trwałości. W związku z tym osie czasowe wielu urządzeń sugerują możliwość ponownej infekcji po ponownym uruchomieniu. Najwcześniejsze zidentyfikowane ślady infekcji pochodzą z 2019 r. Od czerwca 2023 r. atak trwa, a jego celem są urządzenia z systemem iOS 15.7, najnowszą wersją w momencie pisania tego artykułu.
Analiza ostatecznego ładunku nadal trwa. Działając z uprawnieniami administratora, kod implementuje szereg poleceń do zbierania informacji o systemie i użytkowniku oraz może wykonywać dowolny kod uzyskany jako moduły wtyczek z serwera C&C.

Należy zauważyć, że pomimo tego, że złośliwe oprogramowanie zawiera określone segmenty kodu przeznaczone do usuwania śladów włamania, nadal możliwe jest wiarygodne ustalenie, czy urządzenie zostało przejęte. Ponadto, jeśli nowe urządzenie zostanie skonfigurowane poprzez migrację danych użytkownika ze starszego urządzenia, kopia zapasowa iTunes obu urządzeń będzie zawierała ślady naruszenia bezpieczeństwa z dokładnymi sygnaturami czasowymi.

Dlaczego złośliwe oprogramowanie na telefon z systemem iOS jest trudne do analizy?

Złośliwe oprogramowanie na telefony z systemem iOS jest ogólnie uważane za trudniejsze do przeanalizowania w porównaniu ze złośliwym oprogramowaniem atakującym inne systemy operacyjne, takie jak Android. Jest tego kilka powodów:

Zamknięty ekosystem: iOS to zamknięty ekosystem, co oznacza, że Apple ściśle kontroluje dystrybucję sprzętu, oprogramowania i aplikacji na swoich urządzeniach. Ta zamknięta natura utrudnia złośliwemu oprogramowaniu zdobycie przyczółka i rozprzestrzenianie się w systemie.

Proces recenzji w App Store: App Store ma ścisły proces recenzji, w ramach którego każda aplikacja jest sprawdzana przed udostępnieniem do pobrania. Ten proces pomaga zapobiegać szerokiej dystrybucji złośliwych aplikacji. Chociaż nie eliminuje to całkowicie możliwości przeniknięcia złośliwego oprogramowania, zapewnia dodatkową warstwę ochrony.

Piaskownica: aplikacje na iOS są w piaskownicy, co oznacza, że działają we własnym, ograniczonym środowisku i mają ograniczony dostęp do podstawowych zasobów systemowych i danych. Ta izolacja zapobiega łatwemu rozprzestrzenianiu się złośliwego oprogramowania w różnych częściach systemu.

Podpisywanie i szyfrowanie kodu: aplikacje na iOS muszą być podpisane certyfikatem programisty wydanym przez Apple. To podpisywanie kodu zapewnia, że tylko autoryzowani programiści mogą tworzyć i rozpowszechniać aplikacje. Ponadto system iOS wykorzystuje silne środki szyfrowania, co utrudnia analizę i modyfikację kodu aplikacji.

Ograniczone uprawnienia użytkownika: iOS ogranicza uprawnienia użytkownika, uniemożliwiając aplikacjom dostęp do wrażliwych obszarów urządzenia bez wyraźnej zgody użytkownika. To ograniczenie zmniejsza potencjalny wpływ złośliwego oprogramowania.

Chociaż iOS oferuje kilka funkcji bezpieczeństwa, należy pamiętać, że żaden system nie jest całkowicie odporny na złośliwe oprogramowanie. Zdarzały się przypadki złośliwego oprogramowania dla systemu iOS, ale ze względu na czynniki wymienione powyżej jest ono mniej rozpowszechnione w porównaniu z innymi platformami. Jednak wraz z rozwojem technologii twórcy złośliwego oprogramowania nieustannie dostosowują się i znajdują nowe sposoby wykorzystywania luk w zabezpieczeniach, co wymaga ciągłych środków bezpieczeństwa i czujności.

Do Zaib
June 23, 2023
Computer Security
Polski
June 23, 2023
Computer Security

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.