iOS’da Zararlı Yazılım Yok (Mu?)

# OWASP-TRMobileSecurityWorkshop’15

@OguzhanTopgul

# whoami

oguzhantopgul.com

/in/oguzhantopgul

@oguzhantopgul

iOS Uygulamaları Hakkında

Uygulamalar yalnızca resmi App Store’dan indirilebilir

App Store’a uygulama koyabilmek için geliştirici kaydı yapılmalıdır

App Store’a koyulmak üzere gönderilen uygulamalar bir denetimden geçer

Herhangi bir kod parçasının, kütüphanenin cihazda çalıştırılabilir olması için imzalanmış olması gerekir (Code Signing)

JailBreak Hakkında

JailBreak Code Signing’i devre dışı bırakır

JailBreak sayesinde 3rd Party store’lardan uygulama indirilebilir (En popüler olanı Cydia)

JailBreak sayesinde cihaza SSH ile bağlantı kurulabilir, tüm dosya sistemine erişilebilir.

App Store Harici Uygulama Yükleme Kanalı

JailBreak yapılmamış bir cihaza App Store haricinde iki şekilde uygulama yüklenebilir:

1. Developer Provisioning: Geliştiricilerin uygulamalarını kendi cihazlarında test etmelerine olanak tanır. (Max 100 cihaz)

2. Enterprise Provisioning: Kurumların personel cihazlarına kurum içi geliştirilen ve App Store’a koyulmayan uygulamaları yüklemesine olanak tanır.

Mobil Zararlı Yazılım İstatistikleri

Sadece 2015 Q1’de >1,000,000 yeni mobil zararlı yazılım

Mobil Zararlı Yazılım İstatistikleri

2015 Q1 itibariyle ~7,000,000 mobil zararlı yazılım

2014 Q4 Oranları

Mobil Zararlı Yazılım İstatistikleri

J2ME Android Symbian Diğer

iOS’da Zararlı Yazılım Yok Mu?VAR TABİ MANYAK MISIN

İnterne&eTespitEdilmişiKeeveDuh(2009)

"FindandCall”(2012)

Packages(2012,2013)

AdThief(2014)

Unflod(2014)

AppBuyer(2014)

WireLurker(2014)

XssermRAT(2014)

LockSaverFree(2015)

PawnStrom(2015)

KeyRaider(2015)

XCodeGhost(2015)

YiSpecter(2015)

ÜlkelerTara4ndanKullanılan

FinSpy(2012)

DROPOUTJEEP(2013)

HackingTeam(2014,2015)

IncepYon(2014)

Xagent(2015)

İnterne&eSa9şıOlan

1Mole

Copy9,Copy10

FlexiSpy

iKeyGuardKeyLogger

iKeyMonitorKeyLogger

InnovaSPY

MobileSpy

MobiStealth

Mspy

OwnSpy

SpyApp

SpyKey

SteahthGenie

TrapSMS

Araş9rmaAmaçlı

iSAM(2011)

Instastock(2011)

Mactans(2013)

Jekyll(2013)

XARAA]acks(2015)

NeonEggShell(2015)

iKEE ve Duh - 2009iKEE, bilinen ilk iOS zararlısı

Jailbroken cihazları etkiliyor

JB öntanmlı SSH parolası ile giriş denemesi yapıyor (root:alpine, mobile:alpine)

Duh, iKEE’nin bir gelişmiş versiyonu.

CC sunucusundan aldığı komutları işliyor, bilgi çalıyor…

SSH parolasını değiştiriyor (ohshit)

iSAM (PoC) - 2011iKEE gibi jailbroken cihazlarda öntanımlı SSH parolası denemesi yapıyor.

Jailbroken olmayan cihazları JailBreakME 2.0 Star exploiti ile Jailbreak Yapmaya çalışıyor.

InstaStock- 2011Charlie Miller tarafından CodeSigning mekanizmasındaki bir açıklığı göstermek üzere geliştiriliyor

App Store’da yer alıyor, daha sonra kaldırılıyor

Find And Call - 2012

iOS App Store’da yer aldı.

Kullanıcı telefon rehberini kendi sunucusuna gönderiyor.

Telefon rehberindeki kişilere App Store linki SMS olarak gönderiliyor

FinSpy - 2012Bahreyn’li aktivistleri hedef alan bir saldırının (FinFisher) parçası

Android, iOS, Blackberry, Windows Mobile ve Symbian versiyonları mevcut

Developer Provisioning Profile kullanılmış ve hedef alınan cihazların UDID değerleri profile dosyasında yer alıyor

31b4f49bc9007f98b55df555b107cba841219a21, 73b94de27cb5841ff387078c175238d6abac44b2, 0b47179108f7ad5462ed386bc59520da8bfcea86, 320184fb96154522e6a7bd86dcd0c7a9805ce7c0, 11432945ee0b84c7b72e293cbe9acef48f900628, 5a3df0593f1b39b61e3c180f34b9682429f21b4f,

b5bfa7db6a0781827241901d6b67b9d4e5d5dce8

DROPOUTJEEP - 2013Snowden’ın sızdırdığı NSA belgelerinde yer alıyor

iPhone cihazlara yerleştirilen bir arka kapı sayesinde cihazlar sahiplerini dinleme, izleme ve casusluk amaçlarıyla kullanılıyor.

Detayları çok net bilinmiyor

NSA’in elinde çok sayıda iOS exploiti olduğu söyleniyor

Apple’ın NSA ile birlikte çalıştığı iddia edildi, Apple reddetti.

Mactans Malicious Charger (PoC) - 2013Provisioning Profile kullanılıyor.

Şarj cihazı görünümlü bir BeagleBone ile malware cihaza yükleniyor

Unflod Baby Panda - 2014Jailbroken cihazları etkiliyor

MobileSubstrate kullanarak SSLWrite() fonksiyonuna kanca atıyor

SSL ile gönderilen AppleID ve parolasını sunucusuna gönderiyor

Geçerli bir iOS geliştirici sertifikasıyla imzalanmış

Jailbroken olmayan cihazları etkiliyor

Gelişmiş Anti-analiz teknikleri içeriyor.

Saldırı temelde 2 aşamadan oluşuyor:

1. OSX Makine enfekte edilir (3rd Party Mac App Store üzerinden - 467 torjanized OSX App)

2. USB bağlantısı üzerinden iOS cihaz enfekte edilir

Zararlı iOS app üretimi işlemini otomatize bir şekilde yapan ilk zararlı yazılım

Enterprise Provisioning kullanarak 3rd party uygulamaları non-jailbroken cihazlara kuran ilk zararlı yazılım.

2014

OSX makinede çalışan zararlı yazılım internetten iOS app’ler indiriyor.

Bu app’lerin hepsi Enterprise Provisioning Profile barındırıyor.

2014

Herhangi bir cihaz enfekte OSX makineye bağlandığında cihazın JB olup olmadığı kontrol ediliyor

JB’li ise cihazdaki bazı app’lerin yedeği alınıyor, bu app’ler torjanize ediliyor ve tekrar cihaza kuruluyor

JB’li değil ise Enterprise Provisioning Profile yardımıyla daha önce indirilmiş app’ler cihaza kuruluyor.

Zararlı yazılı kurulduğu cihazda, Serial number, Phone number, Model number, Device type & version name, Apple ID, UDID, Wi-Fi address, Disk usage, Telefon defteri, SMS Mesajnları gibi bilgileri topluyor, sunucuya gönderiyor.

2014

PawnStorm & XAgent - 2015Askeri kurumlar, kamu kurumlar, savunma sanayii ve medya sektörlerini hedef alıyor.

Siber espiyonaj amaçlı bir zararlı yazılım

SEDNIT siber espiyonaj kampanyasının bir parçası

Kişisel veriler çalma (telefon rehberi, SMS mesajları, fotoğraflar, konum, yüklü uygulamalar), ses kaydı ve ekran kaydı alınması. Toplanan bilgilerin C&C sunucusuna gönderilmesi

Kod yapısı çok profesyonel

PawnStorm & XAgent - 2015

Jailbroken olan cihazları etkileyen versiyonun yanında Jailbroken olmayan cihazlar için de bir versiyonu mevcut

Enterprise Provisioning Profile kullandığı tahmin ediliyor.

HackingTeam - 2014, 2015CVE-2014-4494, CVE-2015-3722 ve CVE-2015-3725 gibi açıklıklar kullanılmış (Masque)

Popüler uygulamaların trojanized versiyonları ile bilgi toplama ve izleme yapılıyor

Enterprise Provisioning Profile kullanılmış.

HackingTeam’in sızan belgeleri içerisinde 11 tane uygulama tespit edildi

XCodeGhost - 2015XCode geliştirme ortamının trojanized hali kullanılarak compile edilen uygulamaların içerisine zararlı kod enjekte ediyor.

OSX platformu için geliştirilmiş ilk compiler zararlısı

Torjanize edilmiş 36 iOS uygulaması bulunuyor ve bunlardan bazıları AppStore kontrollerini geçip App Store’da yer alıyor

Cihazlardan veri toplayıp C&C sunususuna iletiyor.

XCodeGhost - 2015

XCodeGhost - 2015Apple XCodeGhost ile ilgili bir bülten yayınladı:

http://www.apple.com/cn/xcodeghost/

YiSpecter - 2015Çinli ve Tayvanlı ISP’lere ait trafik hijack edilerek:

Browse edilen sayfa içerisinde JavaScript ve HTML kodu enjekte ediliyor.

Uygulama indirme linkleri değiştirilerek kullanıcılar zararlı uygulamalara yönlendiriliyor

Çinli meçhur Chat uygulaması QQ mesajları içerisinde zararlı yazılıma yönlendirici linkler gönderiliyor

Kullanıcılardan +18 video izleyebilecekleri bir uygulama indirmeleri isteniyor

Hücresel veri veya kurumsal internet üzerinde böyle bir problem yaşanmıyor.

YiSpecter - 2015Enterprise Provisioning Profile ile imzalanmış 4 adet alt komponentten oluşuyor.

Bu komponentlerden bazıları kendisini Passbook, Game Center gibi sistem uygulamaları olarak göseriyor

Private API fonksiyonlarını kullanarak hassas işlemler yapabiliyor ve App Store kontrollerini atlatabiliyor

Uygulamalarda araya girip reklam gösteriyor

Safari homepage’ini, arama motorunu, bookmark’ları güncelliyor

Cihazdan veri toplayıp C&C sunucusuna gönderiyor

MUDA - 201512 Eylül 2015’de sample’ları yayınlandı

2 yıldır aktif olduğu biliniyor

Jailbroken cihazları etkiliyor

Kullanıcıya reklam gösteriyor ve kullanıcıdan app indirmesini istiyor.

İnterne&eTespitEdilmişiKeeveDuh(2009)

"FindandCall”(2012)

Packages(2012,2013)

AdThief(2014)

Unflod(2014)

AppBuyer(2014)

WireLurker(2014)

XssermRAT(2014)

LockSaverFree(2015)

PawnStrom(2015)

KeyRaider(2015)

XCodeGhost(2015)

YiSpecter(2015)

ÜlkelerTara4ndanKullanılan

FinSpy(2012)

DROPOUTJEEP(2013)

HackingTeam(2014,2015)

IncepYon(2014)

Xagent(2015)

İnterne&eSa9şıOlan

1Mole

Copy9,Copy10

FlexiSpy

iKeyGuardKeyLogger

iKeyMonitorKeyLogger

InnovaSPY

MobileSpy

MobiStealth

Mspy

OwnSpy

SpyApp

SpyKey

SteahthGenie

TrapSMS

Araş9rmaAmaçlı

iSAM(2011)

Instastock(2011)

Mactans(2013)

Jekyll(2013)

XARAA]acks(2015)

NeonEggShell(2015)

İnterne&eTespitEdilmişiKeeveDuh(2009)

"FindandCall”(2012)

Packages(2012,2013)

AdThief(2014)

Unflod(2014)

AppBuyer(2014)

WireLurker(2014)

XssermRAT(2014)

LockSaverFree(2015)

PawnStrom(2015)

KeyRaider(2015)

XCodeGhost(2015)

Muda(2015)

ÜlkelerTara4ndanKullanılan

FinSpy(2012)

DROPOUTJEEP(2013)

HackingTeam(2014,2015)

IncepYon(2014)

Xagent(2015)

İnterne&eSa9şıOlan

1Mole

Copy9,Copy10

FlexiSpy

iKeyGuardKeyLogger

iKeyMonitorKeyLogger

InnovaSPY

MobileSpy

MobiStealth

Mspy

OwnSpy

SpyApp

SpyKey

SteahthGenie

TrapSMS

Araş9rmaAmaçlı

iSAM(2011)

Instastock(2011)

Mactans(2013)

Jekyll(2013)

XARAA]acks(2015)

NeonEggShell(2015)

Sonuç:Evet, iOS platformunu tehdit eden zararlı yazılımlar mevcut

Hayır, iOS zararlı yazılımları sadece JailBroken iOS kullanıcılarını etkilemiyor

Evet, Bu zararlı yazılımların bazıları (Toplamda 6-7 tür) App Store’da yer almış

Evet, Provisioning Profile ile zararlı yazılım yüklenmesi en etkili saldırı verktörü

Evet, Bilgisayar üzerinden zararlı yazılım yüklenmesi kullanılan saldırı vektörlerinden

Evet, iOS zararlı yazılım pazarında Çin ve uzak doğu önemli bir rol oynuyor

Referanslarhttps://mobile-security.zeef.com/oguzhan.topgul#block_54614_ios-malware

https://www.theiphonewiki.com/wiki/Malware_for_iOS

http://blog.fortinet.com/post/ios-malware-does-exist

http://www.engadget.com/2009/11/07/jailbreak-worm-rickrolls-the-unsecured/

https://nakedsecurity.sophos.com/2009/11/23/lightning-strikes-iphone-malware-malicious/

https://securelist.com/blog/incidents/33544/find-and-call-leak-and-spam-57/

https://www.sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html

https://www.theiphonewiki.com/wiki/Misuse_of_enterprise_and_developer_certificates

https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware.html

Referanslarhttp://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-ios-espionage-app-found/

http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/

http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/

http://www.cse.buffalo.edu/~mohaisen/classes/fall2015/cse709/docs/deng-ccs15.pdf

https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/

http://www.securityweek.com/ios-malware-found-hacking-team-leak-exploits-masque-flaws

http://link.springer.com/chapter/10.1007%2F978-3-642-21424-0_2

https://gist.github.com/secmobi/257166bb21d0a650fc93

Teşekkürler…