SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
30.09.2024

Руслан Рахметов, Security Vision

 

Смартфон есть более чем у половины жителей Земли. Сотовые сети и мобильные станции - кнопочные телефоны, смартфоны и иные абонентские устройства - прошли этапы эволюции от аналоговых систем (AMPS, TACS, NMT-450/900) первого поколения через цифровые стандарты (D-AMPS, GSM, GPRS, EDGE, UMTS, HSPA) к уже привычным сетям 4G (LTE) и 5G. Скорость передачи мобильных данных росла с каждым новым этапом развития, и сегодня она может достигать 20 ГБит/с. Одновременно росли вычислительные мощности, совершенствовались технологии хранения информации и создания экранов, разрабатывались специализированные операционные системы, повышались удобство и простота использования абонентские устройства - в итоге, сегодня мы имеем возможность пользоваться привычными всем нам смартфонами.

 


Еще в 2016 году мировое число пользователей мобильного интернета превысило количество пользователей стационарного доступа к сети - для большинства людей возможностей смартфона хватает для решения насущных задач, тем более что со временем большинство бизнесов адаптировали свои сайты и сервисы для мобильных устройств. Соответственно, злоумышленники стали всё чаще нацеливать свои атаки именно на смартфоны и планшеты, которые используются и для управления банковскими счетами, и для ведения соцсетей, и для деловой переписки в почтовых клиентах и мессенджерах. Об актуальных мобильных угрозах, способах их выявления, предотвращения и удаления поговорим в данной статье.

 


Итак, начнем с краткого описания эволюции устройств и мобильных угроз. Некоторые продвинутые телефоны 2000-х годов функционировали под управлением полноценных мобильных операционных систем и поддерживали работу виртуальной машины Java для запуска программ, включая самописные. Яркими примерами могут послужить «прообразы» современных смартфонов: Ericsson R380 (выпущен в 1999 году, мобильная ОС EPOC, сенсорный экран, встроенный почтовый клиент), Nokia 9210 (выпущен в 2000 году, полноценная мобильная ОС Symbian, веб-браузер, цветной сенсорный экран), Siemens SL45i (выпущен в 2001 году, поддержка запуска Java-приложений, карт памяти, встроенный MP3-плеер). Кроме того, коммуникаторы и карманные персональные компьютеры (КПК, англ. PDA), популярные в 2000-х, работали под управлением ОС Windows CE/Windows Mobile, Symbian, Palm OS, BlackBerry OS и ряда других. Первые атаки на кнопочные мобильные телефоны были весьма безобидными и заключались, например, в переполнении памяти аппаратов после получения специально созданного SMS-сообщения. С ростом функционала мобильных устройств постепенно появлялись и более продвинутые угрозы: в июне 2004 года был обнаружен первый вирус Cabir для мобильной ОС Symbian с самораспространением через Bluetooth, а в 2005 году вирус Commwarrior для этой же ОС уже получал доступ к контактам и самораспространялся через MMS-сообщения. В июле 2004 года был выявлен первый вирус Duts для КПК под управлением ОС Windows CE/Windows Mobile, а уже в августе того же года исследователи обнаружили первый опасный вирус-бэкдор Brador для этой ОС, который позволял атакующим удаленно управлять зараженным устройством. Первые Java-вирусы для мобильных телефонов появились именно в России: так, в 2006 году был обнаружен троян Redbrowser, который распространялся под видом Java-приложения якобы для бесплатного WAP-браузинга, а после установки рассылал SMS-сообщения на короткий (платный) номер, владелец которого, возможно, был связан с автором вируса.

 


Со временем разработка мобильных устройств вышла на новый уровень, и сейчас смартфоны по техническим характеристикам и функционалу ОС могут соответствовать или даже превосходить уровень стационарных ПК. Соответственно, стали появляться и более опасные угрозы для мобильных устройств: статистика говорит о распространенности нежелательных приложений (Riskware), приложений с навязчивой рекламой (Adware), мобильных банковских троянов и вирусов-вымогателей. При этом цели, которые преследуют авторы мобильного ВПО, как правило, следующие:


1. Скрытная отправка сообщений или звонки на платные номера для несанкционированного списания денег со счета, подписка на платные услуги в приложениях;


2. Хищение денежных средств путем несанкционированного доступа к банковским приложениям - это может быть реализовано как за счет легальных программ удаленного управления мобильным устройством, так и быть частью функционала ВПО;


3. Включение зараженного мобильного устройства в ботнет для скрытного использования при проведении кибератак, включая DDoS-атаки;


4. Шпионаж - доступ к контактам, сообщениям, файлам, данным геолокации, камере и микрофону устройства;


5. Кража чувствительной информации (контакты, сообщения, документы, фотографии), включая кражу "цифровой личности" пользователя за счет доступа к хранящимся на устройстве документам (персональным данным, удостоверениям личности), входящим SMS и биометрическим данным функции распознавания лица пользователя устройства.

 


О заражении устройства вредоносным ПО можно судить по следующим признакам:


1. Неожиданное появление всплывающих окон, баннеров, надписей. Стоит также учесть, что некоторые сайты могут некорректно использовать функционал отправки оповещений через мобильный браузер, поэтому важно периодически закрывать открытые вкладки и очищать кеш браузера.


2. Быстрая разрядка аккумулятора, медленная работа, сильный нагрев устройства - однако эти же явления могут быть связаны с аппаратными проблемами, проблемной прошивкой или со сбоями установленных легитимных приложений.


3. Неожиданные списания со счета мобильного телефона за платные услуги (SMS, звонки) или списания с банковской карты, используемой в мобильных приложениях.


4. Появление неизвестных приложений на устройстве, внезапные включения экрана, неожиданное отображение индикатора активности службы геолокации, микрофона, камеры.


5. Самопроизвольное обращение смартфона к веб-ресурсам, сканирование сети, отправка больших объемов данных на неизвестные интернет-сервисы - такое поведение можно выявить путем использования техник захвата сетевого трафика.

 


Приведем описание некоторых угроз для основных популярных мобильных ОС - для iOS (разработка Apple) и для Android (разработка Google).

Для iOS характерны следующие специфические угрозы:


1. Схема вымогательства за разблокировку устройства: атакующие с помощью методов социальной инженерии просят жертву залогиниться на устройстве Apple под учетной записью Apple ID, логин и пароль к которой предоставляют сами мошенники. После входа на устройство с чужим Apple ID злоумышленники полностью контролируют устройство, переводят его в "режим пропажи" и требуют от пользователя выкуп. Методом защиты должен быть отказ от входа под чужим Apple ID на своё устройство и следование рекомендациям по безопасности Apple.


2. Несанкционированный доступ к Apple ID: злоумышленники взламывают почтовый ящик, который использовался при создании Apple ID (особенно если использовался email-адрес не из Apple-доменов @icloud.com, @me.com или @mac.com), затем получают доступ к учетной записи Apple ID, блокируют устройство и размещают на экране блокировки свои требования выкупа. Успешность атаки и вероятность получения выкупа повышается за счет доступа к данным iCloud жертвы с помощью скомпрометированной Apple ID. Методом защиты должны быть правила базовой кибергигены: использование мультифакторной аутентификации для электронной почты, привязанной к Apple ID, использование сложного пароля, бдительность при переходе по веб-ссылкам и при вводе учетных данных на сайтах.


3. Использование злоумышленниками штатного функционала MDM (Mobile Device Management, система управления мобильными устройствами), встроенного в экосистему Apple: атакующие могут обманом заставить пользователя установить профили конфигураций (configuration profile) или профили регистрации (enrollment profiles) - после этого устройство будет находится под полным контролем хакеров, включая установку любых приложений, доступ к данным геолокации, удаленное стирание всей информации на устройстве. Методом защиты будет бдительность при переходе по ссылкам и при получении запросов на установку новых профилей конфигураций или регистрации, а также включение на устройстве режима Lockdown.


4. Использование злоумышленниками особенностей платформы бета-тестирования Apple: платформа Apple TestFlight предназначена для проведения бета-тестирования приложений без их размещения в App Store, а доступ к таким бета-приложениям предоставляется за счет отправки участникам тестирования ссылки вида https://testflight.apple.com/join/[случайно сгенерированный идентификатор приложения]. Атака эффективна за счет использования легитимного функционала (включая оригинальный домен apple.com), отсутствия должной проверки бета-приложений на безопасность со стороны Apple и легкости реализации атаки для злоумышленников (им требуется всего лишь завести учетную запись разработчика софта под Apple). Методом защиты будет бдительность при переходе по ссылкам и при получении запросов на установку новых приложений, а также включение на устройстве режима Lockdown.


5. Использование .ipa-файлов: в экосистеме iOS файл .ipa (сокращение от iOS AppStore Package) - это архив с содержимым приложения, который может быть экспортирован и импортирован с/на мобильные устройства Apple. Атакующий может самостоятельно разработать вредоносное приложение под iOS, подписать .ipa-файл сертификатом разработчика Apple, обманом вынудить пользователя добавить этот сертификат в «доверенные» на устройстве и затем заставить вручную установить приложение из пересланного ему .ipa-файла. Методом защиты будет бдительность при скачивании файлов и при получении запросов на установку новых приложений, а также включение на устройстве режима Lockdown.

 


Для Android характерны следующие специфические угрозы:


1. Сложность централизованного управления обновлениями ОС со стороны Google (компания-разработчик Android): разнообразие производителей и моделей смартфонов/планшетов и открытость платформы Android приводят к тому, что "чистая" ОС Android установлена лишь на ограниченном наборе мобильных устройств (например, на смартфонах серии Google Pixel), а многие вендоры и энтузиасты самостоятельно дорабатывают и кастомизируют оригинальную ОС. В результате, значительно усложняется процесс распространения обновлений безопасности для ОС Android, в которой регулярно находят опасные уязвимости, а некоторые производители вообще не утруждают себя разработкой патчей. В качестве меры защиты можно порекомендовать рассматривать к приобретению устройства только известных компаний, которые регулярно выпускают обновления и патчи для ОС.

 

2. Альтернативные магазины приложений: многие производители предлагают для своих смартфонов и планшетов собственные магазины приложений, в которых контроль за безопасностью и надежностью размещаемого софта осуществляется слабее, чем в Google Play. Как итог, в магазинах приложений могут встречаться некоторые типы нежелательного ПО, отличающиеся навязчивой рекламой, баннерами, запросами на платные подписки и т.д. В качестве меры защиты можно порекомендовать использовать только официальный магазин приложений Google Play для установки софта, однако даже в нём регулярно обнаруживаются вредоносные приложения. Кроме того, учетная запись разработчика в системе Google Play может быть взломана, и в очередное обновление приложения злоумышленниками могут быть встроены вредоносные компоненты.

 

3. Легкость кастомизации и перепрошивки Android-устройств: для множества устройств энтузиасты выпускают кастомизированные сборки ОС, которые могут содержать уязвимости или вредоносное ПО, добавленные намеренно, по ошибке или в результате атаки на энтузиаста-разработчика. Кроме того, на Android-устройства продвинутые пользователи могут установить LineageOS, которая позиционируется создателями данного проекта как более кастомизируемая и безопасная альтернатива ОС Android, ориентированная на приватность. В качестве меры защиты можно порекомендовать отказ от установки модифицированных версий ОС или, в случае сомнений в безопасности официальной прошивки (например, если был приобретен смартфон от малоизвестного производителя), - установку LineageOS.


4. Легкость получения root-прав: получение прав root (суперпользователя) на многих Android-устройствах, в особенности не самых новых, может быть достаточно тривиальной задачей, а некоторые производители даже открыто публикуют инструкции по рутированию своих моделей. Работа с правами суперпользователя негативно сказывается на безопасности ОС, поскольку нарушается работа заложенной Google защитной архитектуры, перестает работать механизм получения и установки обновлений безопасности. Кроме того, в большинстве случаев получение root связано с предварительной разблокировкой загрузчика ОС (bootloader), что также существенно снижает безопасность устройства.

 

5. Легкость обхода встроенных защитных ограничений: штатными средствами ОС Android можно разрешить установку непроверенных и потенциально вредоносных приложений, распространяемых в виде .apk-файлов (метод называется sideloading), а также отладку по USB с помощью инструмента Android Debug Bridge (adb), позволяющего в том числе выполнить sideloading или удалить любое приложение. Кроме того, в ОС Android есть встроенная привилегия под названием "служба специальных возможностей" (англ. AccessibilityService), предназначенная для помощи в работе с устройством людям с ограниченными возможностями - она дает крайне обширные права (включая возможность управлять устройством голосом, получать доступ к отображаемому на экране содержимому), поэтому важно контролировать приложения, которые запрашивают это разрешение.

 


Кроме того, существует ряд угроз, характерных и для iOS, и для Android:


1. Вредоносные QR-коды: атаки методом quishing (QR phishing) предполагают рассылку фишинговых сообщений с QR-кодами, ведущими на мошеннические или вредоносные сайты. Кроме того, размещение или переклейка QR-кодов в общественных местах или на интернет-ресурсах также может применяться атакующими для направления пользователей на мошеннические ресурсы или для реализации атак типа QRLJacking. Важно сохранять бдительность при сканировании QR-кодов и при дальнейшем переходе на веб-страницы, а также при сканировании QR-кодов в банковских приложениях и мессенджерах.


2. Подмена приложений, удаленных из официальных магазинов приложений Apple и Google: на волне новостей о массовом санкционном удалении банковских приложений из магазинов Apple и Google, мошенники начали размещать в интернете ссылки на якобы обновленные банковские приложения, а также стали публиковать в некоторых альтернативных магазинах вредоносные приложения якобы от имени известных банков, попавших под санкции. При необходимости установки приложения санкционного банка следует или выполнить инструкцию по установке с официальной веб-страницы банка, или посетить офис.


3. Джейлбрейк, рутирование: получение и работа с правами суперпользователя и на iOS, и на Android чревато существенным снижением уровня безопасности ОС и некорректной работой защитных механизмов.


4. Физический доступ к разблокированному устройству: несанкционированное копирование информации и незаметная установка вредоносного ПО возможны при физическом доступе атакующего к разблокированному устройству и при подключении разблокированного устройства к ПК атакующего, поэтому не рекомендуется подключать свой смартфон к неизвестным зарядным устройствам (включая зарядные устройства в общественных местах).


5. Сложное шпионское ВПО: ряд компаний выпускает мобильные приложения (например, Pegasus от NSO Group, Hermit от RCS Lab, Predator от Cytrox и некоторые другие), которые используются для кибершпионажа через мобильные устройства на iOS и Android. Такое ВПО обладает широким функционалом, его крайне сложно обнаружить и удалить. Если угроза подобного уровня актуальна для пользователя, то на iOS-устройстве может помочь сброс устройства до заводских настроек и последующее включение режима Lockdown, а на Android - установка LineageOS с дальнейшим глубоким тюнингом функций безопасности, включая блокировку загрузчика ОС и настройку SELinux.


 

В заключение отметим, что актуальные версии современных мобильных ОС обладают достаточно высоким уровнем защищенности «из коробки», а встроенные механизмы безопасности (например, сканирование Google Play Protect и правила магазина Apple App Store) обеспечивают защиту от большинства вредоносных приложений. Антивирусы для мобильных ОС, кроме сканирования приложений, обеспечивают безопасность интернет-доступа, анализ QR-кодов, функции антиспама и антифишинга. С учетом этого, для обеспечения достаточного уровня кибербезопасности пользователям важно соблюдать несколько базовых правил:


1. Не устанавливать приложения из неизвестных источников, не переходить по ссылкам от неизвестных отправителей.


2. При установке новых приложений из официальных магазинов оценивать рейтинг, дату первого выпуска, количество установок приложения, просматривать список запрашиваемых разрешений.


3. Не делать джейлбрейк или рутирование устройства.


4. Регулярно устанавливать обновления ОС, включая обновления безопасности.


5. Не подключать устройства к неизвестным зарядным станциям, не давать разблокированные устройства в руки незнакомцам.

 

ИБ для начинающих Нарушители ИБ Практика ИБ

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Геймификация и управление персоналом
Геймификация и управление персоналом
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Визуализация: лучшие практики
Визуализация: лучшие практики

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Геймификация и управление персоналом
Геймификация и управление персоналом
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Визуализация: лучшие практики
Визуализация: лучшие практики

Похожие статьи

Что такое снифферы и как они используются
Что такое снифферы и как они используются
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Визуализация: лучшие практики
Визуализация: лучшие практики
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Что такое снифферы и как они используются
Что такое снифферы и как они используются
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Визуализация: лучшие практики
Визуализация: лучшие практики
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения