IT-Sicherheit

Wenn Smartphones zum Ziel von Angriffen werden

Moderne Schadprogramme verfügen über Technologien, die es ermöglichen  sich im System so tief zu verankern, dass diese nicht mit herkömmlichen Methoden detektiert werden können. In den meisten Fällen haben auch bei professionellen Angriffen Anti-Virus Programme kaum eine Chance. Profis werben in Broschüren sogar offensiv damit, dass man deren Trojaner mit Anti-Virus Programmen auf Smartphones nicht entdecken kann. Man kann aber dennoch einiges tun, um selbst den besten Trojaner zu entdecken. Zum einen kann man davon ausgehen, dass Trojaner, ganz gleich ob professioneller Natur oder einfach ein Schädling, Daten an seinen Eigentümer senden müssen. Also muss ein infiziertes Smartphone Traffic erzeugen, der über WLAN oder GSM an den Eigentümer geschickt wird. Um herauszufinden ob ein Trojaner Traffic via WLAN erzeugt, kann man einen eigenen WLAN-Hotspot auf einem Computer starten und das betroffene Smartphone anweisen, sich mit dem Computer über WLAN zu verbinden, idealerweise deaktiviert man vorher die GSM Verbindung. Manch ein Trojaner kann aber auch detektieren, welche Verbindung aktiv ist und schweigt dann. Daher ist es wichtig, alle Verbindungen zu prüfen. Man sollte dann einen Netzwerk-Sniffer (z.B. Software Wireshark) auf dem Computer laufen lassen und den Traffic mitschneiden der durch das Smartphone erzeugt wird. Anschließend wird dieser Mitschnitt nach IP-Adressen oder URLs durchsucht. Diese können dann weiter untersucht werden mit whois-Abfragen (IP Adressen Abfrage auf wem diese registriert ist) oder auf Virustotal.org (Webseite, um verdächtige Dateien untersuchen zu lassen) um zu schauen, ob die URLs oder IP-Adressen bereits als schadhaft bekannt sind.

Bei verschlüsseltem Traffic empfiehlt es sich, die Software Burp-Suite (1) oder Fiddler (2) einzusetzen, da diese auch verschlüsselten Traffic unter idealen Bedingungen aufbrechen können. Bei GSM ist es etwas schwerer, da man zunächst einen IMSI-Catcher (Hardware, um Gespräche von Handys zu belauschen) benötigt und zumindest eine Hobby-Lizenz der Bundesnetzagentur, dass man im Nahbereich einen IMSI-Catcher betreiben darf (IMSI-Catcher nutzen an sich Strafverfolgungsbehörden). Hersteller wie z.B. Ettus bieten geeignetes Equipment an um einen IMSI-Catcher im Eigenbau zu errichten. Auch eine forensische Auswertung von Smartphones bietet sich an,  wenn gleich hier allerdings eine statische Analyse durchgeführt wird. Die Firma Cellebrite hat in der Analyse-Software Physical Analyzer bereits einen Virenscanner integriert, der auf einem forensischen Image bekannte Malware finden und melden kann. Zudem werden Daten aus Apps so dekodiert, dass man diese auf Anomalien analysieren kann um festzustellen, ob kodierte IP-Adressen oder URLs in Apps programmiert wurden, die als schadhaft bekannt sind. Aber auch hier ist es durchaus möglich, dass man neue IP-Adressen oder URLs entdeckt, die noch nicht bekannt sind. Ein Forensiker mit entsprechendem Know-How ist da der richtige Ansprechpartner. Beim iOS Betriebssystem von Apple kann man sich mit einer SSH Verbindung auf das iPhone einwählen und hat die Möglichkeit, laufende Apps aus der Sandbox zu extrahieren um auch diese dann untersuchen zu können. Das ist bei iOS Geräten sonst etwas beschwerlich, da diese verschlüsselt abgelegt werden, aber in der Sandbox entschlüsselt arbeiten.
Die Möglichkeiten Smartphones so zu untersuchen sollten dann in Prozessen abgebildet, und vergleichbar behandelt werden, wie Incident Response gehandelt wird.

Bildquelle pixabay Jan Vašek

(1)https://portswigger.net/burp

About the author

Redaktion Prosecurity

Add Comment

Click here to post a comment