Post on 17-Jan-2017
iOS’da Zararlı Yazılım Yok (Mu?)
# OWASP-TRMobileSecurityWorkshop’15
@OguzhanTopgul
iOS Uygulamaları Hakkında
Uygulamalar yalnızca resmi App Store’dan indirilebilir
App Store’a uygulama koyabilmek için geliştirici kaydı yapılmalıdır
App Store’a koyulmak üzere gönderilen uygulamalar bir denetimden geçer
Herhangi bir kod parçasının, kütüphanenin cihazda çalıştırılabilir olması için imzalanmış olması gerekir (Code Signing)
JailBreak Hakkında
JailBreak Code Signing’i devre dışı bırakır
JailBreak sayesinde 3rd Party store’lardan uygulama indirilebilir (En popüler olanı Cydia)
JailBreak sayesinde cihaza SSH ile bağlantı kurulabilir, tüm dosya sistemine erişilebilir.
App Store Harici Uygulama Yükleme Kanalı
JailBreak yapılmamış bir cihaza App Store haricinde iki şekilde uygulama yüklenebilir:
1. Developer Provisioning: Geliştiricilerin uygulamalarını kendi cihazlarında test etmelerine olanak tanır. (Max 100 cihaz)
2. Enterprise Provisioning: Kurumların personel cihazlarına kurum içi geliştirilen ve App Store’a koyulmayan uygulamaları yüklemesine olanak tanır.
Mobil Zararlı Yazılım İstatistikleri
Sadece 2015 Q1’de >1,000,000 yeni mobil zararlı yazılım
Mobil Zararlı Yazılım İstatistikleri
2015 Q1 itibariyle ~7,000,000 mobil zararlı yazılım
2014 Q4 Oranları
Mobil Zararlı Yazılım İstatistikleri
J2ME Android Symbian Diğer
iOS’da Zararlı Yazılım Yok Mu?VAR TABİ MANYAK MISIN
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
YiSpecter(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
iKEE ve Duh - 2009iKEE, bilinen ilk iOS zararlısı
Jailbroken cihazları etkiliyor
JB öntanmlı SSH parolası ile giriş denemesi yapıyor (root:alpine, mobile:alpine)
Duh, iKEE’nin bir gelişmiş versiyonu.
CC sunucusundan aldığı komutları işliyor, bilgi çalıyor…
SSH parolasını değiştiriyor (ohshit)
iSAM (PoC) - 2011iKEE gibi jailbroken cihazlarda öntanımlı SSH parolası denemesi yapıyor.
Jailbroken olmayan cihazları JailBreakME 2.0 Star exploiti ile Jailbreak Yapmaya çalışıyor.
InstaStock- 2011Charlie Miller tarafından CodeSigning mekanizmasındaki bir açıklığı göstermek üzere geliştiriliyor
App Store’da yer alıyor, daha sonra kaldırılıyor
Find And Call - 2012
iOS App Store’da yer aldı.
Kullanıcı telefon rehberini kendi sunucusuna gönderiyor.
Telefon rehberindeki kişilere App Store linki SMS olarak gönderiliyor
FinSpy - 2012Bahreyn’li aktivistleri hedef alan bir saldırının (FinFisher) parçası
Android, iOS, Blackberry, Windows Mobile ve Symbian versiyonları mevcut
Developer Provisioning Profile kullanılmış ve hedef alınan cihazların UDID değerleri profile dosyasında yer alıyor
31b4f49bc9007f98b55df555b107cba841219a21, 73b94de27cb5841ff387078c175238d6abac44b2, 0b47179108f7ad5462ed386bc59520da8bfcea86, 320184fb96154522e6a7bd86dcd0c7a9805ce7c0, 11432945ee0b84c7b72e293cbe9acef48f900628, 5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8
DROPOUTJEEP - 2013Snowden’ın sızdırdığı NSA belgelerinde yer alıyor
iPhone cihazlara yerleştirilen bir arka kapı sayesinde cihazlar sahiplerini dinleme, izleme ve casusluk amaçlarıyla kullanılıyor.
Detayları çok net bilinmiyor
NSA’in elinde çok sayıda iOS exploiti olduğu söyleniyor
Apple’ın NSA ile birlikte çalıştığı iddia edildi, Apple reddetti.
Mactans Malicious Charger (PoC) - 2013Provisioning Profile kullanılıyor.
Şarj cihazı görünümlü bir BeagleBone ile malware cihaza yükleniyor
Unflod Baby Panda - 2014Jailbroken cihazları etkiliyor
MobileSubstrate kullanarak SSLWrite() fonksiyonuna kanca atıyor
SSL ile gönderilen AppleID ve parolasını sunucusuna gönderiyor
Geçerli bir iOS geliştirici sertifikasıyla imzalanmış
Jailbroken olmayan cihazları etkiliyor
Gelişmiş Anti-analiz teknikleri içeriyor.
Saldırı temelde 2 aşamadan oluşuyor:
1. OSX Makine enfekte edilir (3rd Party Mac App Store üzerinden - 467 torjanized OSX App)
2. USB bağlantısı üzerinden iOS cihaz enfekte edilir
Zararlı iOS app üretimi işlemini otomatize bir şekilde yapan ilk zararlı yazılım
Enterprise Provisioning kullanarak 3rd party uygulamaları non-jailbroken cihazlara kuran ilk zararlı yazılım.
2014
OSX makinede çalışan zararlı yazılım internetten iOS app’ler indiriyor.
Bu app’lerin hepsi Enterprise Provisioning Profile barındırıyor.
2014
Herhangi bir cihaz enfekte OSX makineye bağlandığında cihazın JB olup olmadığı kontrol ediliyor
JB’li ise cihazdaki bazı app’lerin yedeği alınıyor, bu app’ler torjanize ediliyor ve tekrar cihaza kuruluyor
JB’li değil ise Enterprise Provisioning Profile yardımıyla daha önce indirilmiş app’ler cihaza kuruluyor.
Zararlı yazılı kurulduğu cihazda, Serial number, Phone number, Model number, Device type & version name, Apple ID, UDID, Wi-Fi address, Disk usage, Telefon defteri, SMS Mesajnları gibi bilgileri topluyor, sunucuya gönderiyor.
2014
PawnStorm & XAgent - 2015Askeri kurumlar, kamu kurumlar, savunma sanayii ve medya sektörlerini hedef alıyor.
Siber espiyonaj amaçlı bir zararlı yazılım
SEDNIT siber espiyonaj kampanyasının bir parçası
Kişisel veriler çalma (telefon rehberi, SMS mesajları, fotoğraflar, konum, yüklü uygulamalar), ses kaydı ve ekran kaydı alınması. Toplanan bilgilerin C&C sunucusuna gönderilmesi
Kod yapısı çok profesyonel
PawnStorm & XAgent - 2015
Jailbroken olan cihazları etkileyen versiyonun yanında Jailbroken olmayan cihazlar için de bir versiyonu mevcut
Enterprise Provisioning Profile kullandığı tahmin ediliyor.
HackingTeam - 2014, 2015CVE-2014-4494, CVE-2015-3722 ve CVE-2015-3725 gibi açıklıklar kullanılmış (Masque)
Popüler uygulamaların trojanized versiyonları ile bilgi toplama ve izleme yapılıyor
Enterprise Provisioning Profile kullanılmış.
HackingTeam’in sızan belgeleri içerisinde 11 tane uygulama tespit edildi
XCodeGhost - 2015XCode geliştirme ortamının trojanized hali kullanılarak compile edilen uygulamaların içerisine zararlı kod enjekte ediyor.
OSX platformu için geliştirilmiş ilk compiler zararlısı
Torjanize edilmiş 36 iOS uygulaması bulunuyor ve bunlardan bazıları AppStore kontrollerini geçip App Store’da yer alıyor
Cihazlardan veri toplayıp C&C sunususuna iletiyor.
XCodeGhost - 2015
XCodeGhost - 2015Apple XCodeGhost ile ilgili bir bülten yayınladı:
http://www.apple.com/cn/xcodeghost/
YiSpecter - 2015Çinli ve Tayvanlı ISP’lere ait trafik hijack edilerek:
Browse edilen sayfa içerisinde JavaScript ve HTML kodu enjekte ediliyor.
Uygulama indirme linkleri değiştirilerek kullanıcılar zararlı uygulamalara yönlendiriliyor
Çinli meçhur Chat uygulaması QQ mesajları içerisinde zararlı yazılıma yönlendirici linkler gönderiliyor
Kullanıcılardan +18 video izleyebilecekleri bir uygulama indirmeleri isteniyor
Hücresel veri veya kurumsal internet üzerinde böyle bir problem yaşanmıyor.
YiSpecter - 2015Enterprise Provisioning Profile ile imzalanmış 4 adet alt komponentten oluşuyor.
Bu komponentlerden bazıları kendisini Passbook, Game Center gibi sistem uygulamaları olarak göseriyor
Private API fonksiyonlarını kullanarak hassas işlemler yapabiliyor ve App Store kontrollerini atlatabiliyor
Uygulamalarda araya girip reklam gösteriyor
Safari homepage’ini, arama motorunu, bookmark’ları güncelliyor
Cihazdan veri toplayıp C&C sunucusuna gönderiyor
MUDA - 201512 Eylül 2015’de sample’ları yayınlandı
2 yıldır aktif olduğu biliniyor
Jailbroken cihazları etkiliyor
Kullanıcıya reklam gösteriyor ve kullanıcıdan app indirmesini istiyor.
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
YiSpecter(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
Muda(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
Sonuç:Evet, iOS platformunu tehdit eden zararlı yazılımlar mevcut
Hayır, iOS zararlı yazılımları sadece JailBroken iOS kullanıcılarını etkilemiyor
Evet, Bu zararlı yazılımların bazıları (Toplamda 6-7 tür) App Store’da yer almış
Evet, Provisioning Profile ile zararlı yazılım yüklenmesi en etkili saldırı verktörü
Evet, Bilgisayar üzerinden zararlı yazılım yüklenmesi kullanılan saldırı vektörlerinden
Evet, iOS zararlı yazılım pazarında Çin ve uzak doğu önemli bir rol oynuyor
Referanslarhttps://mobile-security.zeef.com/oguzhan.topgul#block_54614_ios-malware
https://www.theiphonewiki.com/wiki/Malware_for_iOS
http://blog.fortinet.com/post/ios-malware-does-exist
http://www.engadget.com/2009/11/07/jailbreak-worm-rickrolls-the-unsecured/
https://nakedsecurity.sophos.com/2009/11/23/lightning-strikes-iphone-malware-malicious/
https://securelist.com/blog/incidents/33544/find-and-call-leak-and-spam-57/
https://www.sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html
https://www.theiphonewiki.com/wiki/Misuse_of_enterprise_and_developer_certificates
https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware.html
Referanslarhttp://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-ios-espionage-app-found/
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/
http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/
http://www.cse.buffalo.edu/~mohaisen/classes/fall2015/cse709/docs/deng-ccs15.pdf
https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/
http://www.securityweek.com/ios-malware-found-hacking-team-leak-exploits-masque-flaws
http://link.springer.com/chapter/10.1007%2F978-3-642-21424-0_2
https://gist.github.com/secmobi/257166bb21d0a650fc93
Teşekkürler…