Persistenz durch Täuschung: Die Bedrohung durch gefälschte iOS-Updates

Jamf Threat Labs untersucht, wie böswillige Akteure gefälschte iOS-Updates verwenden, um Geräte langfristig kompromittiert zu halten.

August 6 2024 Von

Jamf Threat Labs

Forschung unter der Leitung von Hu Ke und Nir Avraham.

Angesichts der sich rasch entwickelnden Bedrohungen für Mobilgeräte kann die Aufrechterhaltung eines sicheren Arbeitsbereichs nur durch mehrschichtige Schutzmaßnahmen erreicht werden. Auch wenn das Konzept für Expert*innen in der Sicherheits- und Risikoverwaltung nicht neu ist, so unterscheiden sich die Techniken zum Schutz mobiler Arbeitskräfte doch grundlegend von denen, die zum Schutz von Geräten innerhalb der Grenzen eines Unternehmens eingesetzt werden.

Bei der Untersuchung einer neuen Bedrohung sind die Forscher*innen von Jamf Threat Labs bestrebt, deren Funktionsweise von Anfang bis Ende zu verstehen. Dabei wird nicht nur untersucht, wie Bedrohungsakteure den ersten Zugang zu einem Gerät erhalten, sondern auch, wie sie auf dem Gerät arbeiten, wie sie wertvolle Informationen sammeln und wie diese Daten vom Gerät exfiltriert werden.

Obwohl unsere Forscher*innen Frameworks wie MITRE ATT&CK verwenden, um die verschiedenen Phasen des Lebenszyklus eines Angriffs zu untersuchen, würde eine detaillierte Erörterung einer gesamten Angriffssequenz den Rahmen dieses Blogs sprengen. Stattdessen werden wir uns heute auf eine bestimmte Phase des mobilen Angriffs konzentrieren: Die Persistenz. Konkret werden wir die komplexe Funktionsweise eines theoretischen iOS Updates untersuchen, das Benutzer*innen eines kompromittierten Geräts vorgaukelt, sie würden das neueste und sicherste verfügbare OS herunterladen und installieren, das in diesem Szenario als iOS 18 dargestellt wird.

Entlarvung der Täuschung

Im Rahmen unserer Forschungsarbeiten zu "Persistenz"-Techniken für Mobilgeräte untersuchen wir, wie Angreifende die Einstellungen von iOS ausnutzen und die Einstellungen für System-Updates manipulieren können, einschließlich der Aufforderungen und Mitteilungen, die auf ein verfügbares Update von iOS 18 hinweisen.

Das Ziel von Angreifenden, die erfolgreich Zugang zu einem Zielgerät erlangt haben, ist es, so lange wie möglich auf dem Gerät zu bleiben, um wertvolle Daten zu sammeln. Unabhängige Untersuchungen zeigen, dass im Durchschnitt 277 Tage benötigt werden, um eine Sicherheitsverletzung zu erkennen und einzudämmen: 207 Tage für die Ermittlung und 70 Tage für die Eindämmung.

Quelle: https://www.ibm.com/reports/data-breach-action-guide

Um ihre dauerhafte Präsenz auf einem Gerät über einen so langen Zeitraum zu sichern, müssen Angreifende ihre Spuren verwischen und ihre Aktivitäten so gut wie möglich verschleiern. Im Falle unseres simulierten iOS Updates versucht der/die Angreifende, den/die Benutzer*in davon zu überzeugen, dass das Gerät normal funktioniert. Diese scheinbare Authentifizierung ist eine sorgfältig aufgebaute Fassade, um die Integrität des Geräts zu beeinträchtigen und es somit weiterhin Gefahren auszusetzen.

Ausnutzen des Vertrauens der Benutzer*innen

Die Wirksamkeit unseres simulierten Systems hängt vom Ausnutzen des Vertrauens der Benutzer*innen ab. Indem wir die visuellen Hinweise und die Sprache echter iOS Updates genau imitieren, schaffen wir ein falsches Gefühl der Sicherheit. Jedes Element, von der ersten Warnmeldung bis hin zu den Fortschrittsanzeigen, ist sorgfältig konzipiert, um die Illusion aufrechtzuerhalten.

Technische Grundlagen

Unter der Oberfläche unseres gefälschten iOS Update Systems verbirgt sich ein anspruchsvoller Mechanismus. Wir verwenden fortschrittliche Techniken, um Benutzer*innen zu täuschen, indem wir die Kommunikation zwischen dem Gerät und dem Update Server abfangen und verändern. Durch diese Manipulation wird das Gerät in eine kontrollierte, gefälschte Update-Umgebung umgeleitet, wodurch die offiziellen Kanäle von Apple umgangen werden. Es ist wichtig zu wissen, dass dieses Szenario davon ausgeht, dass das Gerät bereits kompromittiert wurde.

Die Folgen einer Kompromittierung

Die Auswirkungen des Hereinfalls auf unser gefälschtes Update-System sind erheblich. Sobald ein Gerät kompromittiert wurde, kann es nicht mehr auf die neueste Version aktualisiert werden - in unserem Fall iOS 18 - und ist somit anfällig für weitere Schwachstellen.

Risikominderung

Um diese Bedrohung zu bekämpfen, sollten Benutzer*innen bei Update-Aufforderungen auf ihren iOS Geräten wachsam und vorsichtig sein. Die Authentifizierung von Update-Mitteilungen über vertrauenswürdige Quellen wie die offizielle Website von Apple oder das Einstellungsmenü kann Benutzer*innen dabei helfen, nicht Opfer solcher betrügerischen Taktiken zu werden.

Umfassender Mobilschutz mit Jamf

Da Apple die Benutzer*innen des iPhones kürzlich vor neuen Angriffen auf iOS gewarnt hat, ist die Integration mobilen Schutzes in Ihre Strategie wichtiger denn je. Jamf bietet robusten, mehrschichtigen Schutz durch unsere umfassende Suite von Lösungen:

  • Gerät eregistrierung von firmeneigenen und BYOD Geräten: Jamf bietet eine zentrale Kontrolle über firmeneigene Geräte und von Benutzer*innen registrierte Arbeitspartitionen, um sicherzustellen, dass jedes genehmigte Gerät einsatzfähig ist.
  • Sichere Geräte konfigurierung und Compliance Audits: Jamf bietet Fähigkeiten zur Anpassung an bestehende Compliance-Standards oder zur Entwicklung eigener Standards und zum Auditieren der Einhaltung dieser Standards durch die Geräte im Laufe der Zeit.
  • Modern erEndpoint -Schutz und Mobile Threat Defense: Jamf bietet branchenführenden Endpoint-Schutz für Mac- und mobile (iOS und Android) Geräte.
  • Fortgeschrittene Detection and Response (EDR, Endpoint-Erkennung und Reaktion): Jamf bietet einen hocheffizienten mobilen EDR-Service.
  • Modern Remote Access: Jamf bietet eine native Zero-Trust-Lösung für den Zugang, die für das moderne Zeitalter entwickelt wurde, mit integrierten Prüfungen der Benutzeridentität und kontinuierlichen Bewertungen des Geräterisikos, die in die Richtlinien integriert sind.

Schlussfolgerung

Dieses konzeptionelle Update für iOS zeigt, wie kreativ und komplex moderne Cybersicherheitsbedrohungen sein können. Es ist von entscheidender Bedeutung, wachsam und proaktiv zu bleiben, und indem wir die Besonderheiten dieser Technik hervorheben, hoffen wir, Lehrkräfte zu bilden und Organisationen mit dem Wissen auszustatten, das sie benötigen, um Einzelpersonen und ihr Unternehmen gegen die sich ständig ändernden Bedrohungen in der iOS Umgebung zu schützen.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.