攻擊者如何使用常見的MDM功能對iOS裝置發起攻擊
思科Talos團隊曾經發過兩篇文章(ofollow,noindex">1 ,2 ),都是關於惡意移動裝置管理(mobile device management,MDM)平臺如何將偽裝的應用程式載入到智慧手機上的,我們對攻擊者的方法有了更深入的瞭解。
在這樣的攻擊者中,攻擊者將iOS設備註冊到MDM中,並使用這些裝置來控制受害者的裝置,他們會將通過偽裝的WhatsApp,Telegram和Imo,以及Web瀏覽器Safari來完成攻擊。
在讀了這篇文章 後,我們就會清楚的知道攻擊者如何利用常見的MDM功能,並使用iOS配置檔案隱藏和禁用應用程式的合法版本,以偽裝的惡意版本替換合法的版本。
經過進一步研究後,研究人員還發現了攻擊者會在註冊裝置上部署配置檔案時,濫用iOS裝置上存在的年齡分級限制功能,並根據此分級部署相應的惡意應用程式。WhatsApp和Telegram的年齡分別為12歲和17歲以上。如果將年齡分級限制設定為9歲以上後,則已安裝的合法應用程式將自動在該裝置中消失。
雖然此時,這些應用程式仍然存在於該裝置上,但如果使用者使用iOS裝置上的搜尋功能搜尋這些應用程式,那使用者也無法與其進行互動,因為它根本無法開啟。
所有移動裝置使用者都應該瞭解這些攻擊方法,以防止攻擊者通過MDM控制他們的手機。在下面的說明中,我們將教你逐步檢查你的手機是否有未經授權的MDM,以及年齡設定是否被人動過手腳。
有關配置檔案設定的細節資訊
在iOS生態系統中,你可以使用配置檔案配置裝置。這是一個可以傳送到iOS裝置的XML檔案,例如,使用配置檔案執行MDM註冊機制。可以使用官方工具Apple Configurator 2輕鬆建立配置檔案。利用這些配置檔案,我們可以限制應用程式使用。
此時應用限制僅限於受監管的裝置,在研究人員的調查中,已註冊的iPhone不在監督模式中,但合法的WhatsApp應用程式消失,這隻能迫使使用者訪問惡意版本的應用,且攻擊者使用限制設定來禁止使用者使用9歲及以上的應用程式。
以下是惡意MDM上託管的配置檔案的XML內容:
<key>ratingApps</key> <integer>200</integer> <key>ratingMovies</key> <integer>1000</integer> <key>ratingRegion</key> <string>us</string> <key>ratingTVShows</key> <integer>1000</integer>
其中,數字200就相當於是9歲的年齡。
在iOS裝置上安裝此配置檔案後,雖然受年齡等級限制的應用程式將繼續顯示為安裝的狀態,但無法再使用或訪問,並且圖示將從使用者介面中消失。如果檢視應用商店,你可以看到應用程式仍然顯示的是安裝狀態,但使用者卻無法啟動它。這可以通過控制裝置上的限制設定完成,
此時,我們可以看到限制顯示為“禁用”,這就是文字為灰色的原因。但實際上,它已啟用。
如果通過手動安裝配置檔案,或通過Safari開啟配置檔案XML,那麼在設定>常規>配置檔案選單中,就會顯示一個新條目。如果MDM部署配置檔案,因為MDM註冊配置檔案會出現,則這個新條目就不會顯示出來。
如何檢查IPHONE配置檔案
在下面的視訊中,研究人員將向你展示攻擊者如何通過註冊惡意MDM平臺來獲取對手機的訪問許可權。仔細看視訊,你會注意到其中涉及到相當多的使用者互動。但是,如果攻擊者可以通過電話正確的對使用者進行社交工程,或者他們可以對裝置進行物理訪問,則可以快速有效的進行註冊。
先看這個視訊 ,該視訊從終端使用者的角度向我們展示了註冊過程,研究人員是在執行Apple最新的11.4.1 iOS的iPhone X上進行了這項測試,這是一款全新的iOS系統iPhone X,使用的測試電話沒有以任何方式進行過越獄或篡改。
正如你在視訊中看到的那樣,使用者已接受兩個INSTALL / TRUST流程,以允許手機註冊。一旦研究人員成功將手機註冊到惡意MDM中,他們就可以將配置檔案和應用程式傳播到裝置上。為了達到這個目的,研究人員推出了一款設定了年齡限制的應用程式,如上所示,這意味著已安裝的合法WhatsApp應用程式消失了,並且通過已註冊的MDM訪問,就可以啟動WhatsApp的惡意版本。
需要說明的是,在MDM中不存在用於註冊手機的惡意軟體、漏洞。MDM是一種合法的裝置管理方法,全世界的企業都在使用,攻擊者只是利用了這個裝置管理方法而已。
Talos建議使用者使用以下方法檢查手機是否具有其他配置檔案或是否已在MDM平臺中註冊:
1.使用者可以在設定>常規>配置檔案和裝置管理> [MDM配置]>限制中檢視MDM配置檔案設定的限制;
2.使用者還可以在設定>常規>配置檔案和裝置管理> [MDM配置]>應用程式中檢查其裝置上安裝的MDM配置檔案;
注意:如果你的裝置上沒有可用的配置檔案和裝置管理選單選項,則表示手機當前未註冊MDM,手機上也沒有任何其他配置檔案可信任。
如果可能,建議你看一下此視訊 。
總結
一提到自己的手機被攻擊了,大多數使用者通常會認為他們需要下載補丁來修復漏洞。但是,有些攻擊並不是利用的漏洞。相反,攻擊者使用的是現有的合法功能,以隱藏受害者的合法應用程式,趁機部署惡意應用。
MDM可以在使用者不知情的情況下,部署配置檔案。因此,強烈建議稽核iPhone配置檔案並刪除可疑配置檔案。此外,你可以檢視手機上的限制選單,以驗證是否配置了應用程式的年齡限制。