zurück zur Übersicht

Böser Geist aus dem Appstore

handy_bWie vergangene Woche öffentlich bekannt wurde, ist der Appstore von Apple zum ersten Mal Opfer eines groß angelegten Sicherheitsvorfalls geworden. Betroffen sind vermutlich mehrere hundert Millionen Nutzer überwiegend aus dem asiatischen Raum. Mehrere Apps wurden mit einer Malware infiziert und konnten aus dem offiziellen AppStore heruntergeladen werden. Die prominenteste betroffene App, welche auch in Europa verwendet wird, ist WeChat. Interessant an diesem Angriff ist der Mechanismus, wie sich die Malware verbreiten konnte. Offensichtlich wurde im CodeReview von Apple die Malware nicht erkannt, da sich der Schadcode in Kernfunktionalitäten von iOS integriert hat. Dies war nur möglich, da einige Softwareentwickler eine nicht offizielle Version des Apple Softwareentwicklungstools XCode verwendet haben. XCode ist derzeit der einzige Weg um iOS-kompatible Apps zu erzeugen. Bei der infizierten Version von XCode wurden einige Systembibliotheken um Schadcode erweitert, welcher beim Compiliervorgang der App mit integriert wurde. Dieses intelligente Vorgehen hat ein Auffinden während des Code Reviews erschwert, da die Malware selbst erst durch Systemaufrufe getriggert wurde, welche standardmässig von Apps verwendet werden. Überprüft wurde vermutlich aber nur der selbstentwickelte Teil des App Codes. Eine Analyse des Verhaltens der Malware hat ergeben, dass diese unter Anderem in der Lage ist, Passwörter auszuspähen und diese an C&C Server (Command and Control Server) zu senden. Auch das Auslesen der Zwischenablage ist möglich. Die Zwischenablage wird oft von Passwortmanagern für das Zwischenspeichern von Passwörtern für die automatische Eingabe von Benutzerdaten in Formularen verwendet. Wir können jedoch auch von diesem Sicherheitsvorfall lernen:

  • XCodeGhost konnte sich nur ausbreiten, da Entwickler Fehler gemacht haben.
  • Die Malware kann erkannt werden, da sie auffälliges Verhalten zeigt.
  • Die Malware kann gepatcht werden, da die Apps direkt nach Bekanntweden gepatcht wurden bzw. infizierte Apps vom Appstore entfernt wurden.

XCodeGhost lehrt uns auf hervorragende Weise, wie verschiedene Maßnahmen eine Infektion und Ausbreitung wenn nötig erkannt und im besten Fall verhindert hätten. Die Maßnahmen sind allesamt Best Practices im IT-Security Umfeld und sollten so auch im Enterprise Umfeld sowie teils im privaten Bereich berücksichtigt werden:

  • Vertrauensvolle Quellen nutzen: Die betroffenen Apps konnten sich nur durch den Einsatz von nicht offiziellen Versionen der Entwicklungssoftware infizieren.
  • Zertifikate und Signaturen verwenden: Systembibliotheken wurden durch Schadcode erweitert und dadurch wurden die Signaturen und Hashwerte der Bibliotheken verändert. Solche Manipulationen können bei einer Überprüfung einfach erkannt werden.
  • Code Scanning: Durch Code Scanning der infizierten Apps kann eine Infektion erkannt werden.

Vor allem bei Eigenentwicklungen ist ein Code Scanning unerlässlich, um mögliche beabsichtigte und unbeabsichtigte Sicherheitsschwachstellen zu erkennen.

  • Loganalyse: Im Enterprise Umfeld kann die Analyse von unterschiedlichen Logquellen infizierte Devices erkennen. So hätte auffälliges Verhalten von Mobile Devices (IPhone, IPad) frühzeitig erkannt werden können.
  • TI-Feed Korrelation (Threat Intelligence): Durch die Kommunikation mit C&C Servern enttarnt sich die Malware selbst relativ zuverlässig. TI-Feed Korrelation ist mittlerweile weit verbreitete Praxis und eine Erweiterung des Security Information und Event Managements (SIEM).
  • Vorsicht ist geboten: Die Malware zeigt ungewöhnliches Verhalten durch das Öffnen von nicht angeforderten Fenstern zur Authentifizierung gegen einen vermeintlichen Service (Fake iCloud Login Popups)
  • Patch Management: Infizierte Apps und Apps mit Schwachstellen können zeitnah und zuverlässig gepatcht werden.

Im Enterprise Umfeld ist ein Patch Management unerlässlich da die Heterogenität und schiere Masse an verwendeter Software und die unterschiedlichen Versionsstände zentral erfasst und mögliche Patches geplant, sowie deren erfolgte Installation geprüft werden müssen. XCodeGhost zeigt uns aber auch, dass die IT-Sicherheit nur durch das Zusammenspiel unterschiedlichster Maßnahmen gewährleistet werden kann – was bei der Vielfalt der Maßnahmen eine professionelle Planung und Orchestrierung dieser Maßnahmen voraussetzt. Wenn Sie an der Verbesserung der IT-Sicherheit in Ihrem Unternehmen interessiert sind, wenden Sie sich vertrauensvoll an die Mitarbeiter von iT-CUBE Systems. Wir beraten herstellerneutral als Systemintegrator in allen Aspekten der IT-Sicherheit von Awarenesstraining bis zu Managed SIEM Services.


Links:

http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/
http://researchcenter.paloaltonetworks.com/2015/09/update-xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps/
http://www.reuters.com/article/2015/09/20/us-apple-china-malware-idUSKCN0RK0ZB20150920
http://www.macrumors.com/2015/09/20/xcodeghost-chinese-malware-faq/?partner=skygrid

Schreibe einen Kommentar