TriangleDB:針對流動裝置的APT攻擊

早前Kaspersky在iPhone上偵測到新的APT攻擊,目標並非他人,而是公司的員工,身份未明的攻擊者利用iOS kernel的安全漏洞,部署名為TriangleDB的間諜程式到裝置的記憶體內,Kaspersky的研究人員自己把握機會好好研究一番。

TriangleDB的功能

研究TriangleDB並不容易,因為它只存在於電話的記憶體,在系統內不留任何痕跡,所以重啟裝置便會抹去所有攻擊的痕跡,惡意程式本身也有自己銷毀計時器,在觸發感染後30日自動啟動,除非操作員決定發送指令去延長工作時間,惡意程式的基本功能包括:

  • 檔案操縱 (創建、修改、刪除和滲透)
  • 操縱執行中程序 (取得列表並終止他們)
  • 滲透iOS keychain元素,當中可能載有證書、數碼身份或和種服務的憑證
  • 傳輸地理位置,包括座標、高度、移動方向和速度

植入的過程可以讀取額外模組到電話記憶體並且執行,技術詳情可以參考Securelist

流動裝置上的APT攻擊

傳統的APT攻擊通常都是針對個人電腦,但近年流動裝置不論是性能和功能都就好比公司的電腦,用戶使用流動裝置進行重要商業資料的互動、儲存個人和公司機密、也能存取工作相關的服務,所以吸引到APT組織花功夫對流動操作系統發動攻擊。

當然Triangulation並非首個針對iOS裝置的攻擊,至少前者還有惡名昭彰的Pegasus,還有Insomnia、Predator、Reign等等,而APT組織對Android OS的興趣也不少,較早前有APT組織Transparent Tribe利用CapraRAT後面程式針對印度和巴基斯坦用戶的系統,所以現代防護APT攻擊,除了伺服器和工作台等固定的裝置,也不能忽略流動裝置。

提升手機免受APT攻擊的機會

如果假設流動裝置預設的技術能提供足夠的保護,可能就會把自己陷入危機之內,Triangulation的個案正好顯示即使是Apple也並非完美,所以我們建議機構應該部署複數等級的保護系統,當中包括容許流動裝置控制的方便工具,以及可以監察其網絡互動的系統。第一條防線應該是MDM級的方案,例如Kaspersky的Endpoint Security for Mobile,能透過Kaspersky Security Center對流動裝置進行中央管理,同時也提供反網絡釣魚、網絡威脅和惡意程式(只限Android,因為Apple不容許第三方防毒方案)的保護。

KSN能透過雲端偵測Android相關的惡意程式,以機械學習的方式,從數百萬個已知的Android惡意程式樣本中訓練,面對未知的惡意程式也有高準確度的偵測。然而攻擊者正增加對流動平台的精密攻擊,所以利用能監察網絡活動的系統也成為需要的項目,透過SIEM或其他工具可以協助專家掌握複雜的網絡保安狀況。

資料來源:Kaspersky Blog