Download - iOS'da Zararlı Yazılım Yok (mu?)
![Page 1: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/1.jpg)
iOS’da Zararlı Yazılım Yok (Mu?)
# OWASP-TRMobileSecurityWorkshop’15
@OguzhanTopgul
![Page 3: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/3.jpg)
iOS Uygulamaları Hakkında
Uygulamalar yalnızca resmi App Store’dan indirilebilir
App Store’a uygulama koyabilmek için geliştirici kaydı yapılmalıdır
App Store’a koyulmak üzere gönderilen uygulamalar bir denetimden geçer
Herhangi bir kod parçasının, kütüphanenin cihazda çalıştırılabilir olması için imzalanmış olması gerekir (Code Signing)
![Page 4: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/4.jpg)
JailBreak Hakkında
JailBreak Code Signing’i devre dışı bırakır
JailBreak sayesinde 3rd Party store’lardan uygulama indirilebilir (En popüler olanı Cydia)
JailBreak sayesinde cihaza SSH ile bağlantı kurulabilir, tüm dosya sistemine erişilebilir.
![Page 5: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/5.jpg)
App Store Harici Uygulama Yükleme Kanalı
JailBreak yapılmamış bir cihaza App Store haricinde iki şekilde uygulama yüklenebilir:
1. Developer Provisioning: Geliştiricilerin uygulamalarını kendi cihazlarında test etmelerine olanak tanır. (Max 100 cihaz)
2. Enterprise Provisioning: Kurumların personel cihazlarına kurum içi geliştirilen ve App Store’a koyulmayan uygulamaları yüklemesine olanak tanır.
![Page 6: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/6.jpg)
Mobil Zararlı Yazılım İstatistikleri
Sadece 2015 Q1’de >1,000,000 yeni mobil zararlı yazılım
![Page 7: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/7.jpg)
Mobil Zararlı Yazılım İstatistikleri
2015 Q1 itibariyle ~7,000,000 mobil zararlı yazılım
![Page 8: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/8.jpg)
2014 Q4 Oranları
Mobil Zararlı Yazılım İstatistikleri
J2ME Android Symbian Diğer
![Page 9: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/9.jpg)
iOS’da Zararlı Yazılım Yok Mu?VAR TABİ MANYAK MISIN
![Page 10: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/10.jpg)
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
YiSpecter(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
![Page 11: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/11.jpg)
iKEE ve Duh - 2009iKEE, bilinen ilk iOS zararlısı
Jailbroken cihazları etkiliyor
JB öntanmlı SSH parolası ile giriş denemesi yapıyor (root:alpine, mobile:alpine)
Duh, iKEE’nin bir gelişmiş versiyonu.
CC sunucusundan aldığı komutları işliyor, bilgi çalıyor…
SSH parolasını değiştiriyor (ohshit)
![Page 12: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/12.jpg)
iSAM (PoC) - 2011iKEE gibi jailbroken cihazlarda öntanımlı SSH parolası denemesi yapıyor.
Jailbroken olmayan cihazları JailBreakME 2.0 Star exploiti ile Jailbreak Yapmaya çalışıyor.
InstaStock- 2011Charlie Miller tarafından CodeSigning mekanizmasındaki bir açıklığı göstermek üzere geliştiriliyor
App Store’da yer alıyor, daha sonra kaldırılıyor
![Page 13: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/13.jpg)
Find And Call - 2012
iOS App Store’da yer aldı.
Kullanıcı telefon rehberini kendi sunucusuna gönderiyor.
Telefon rehberindeki kişilere App Store linki SMS olarak gönderiliyor
![Page 14: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/14.jpg)
FinSpy - 2012Bahreyn’li aktivistleri hedef alan bir saldırının (FinFisher) parçası
Android, iOS, Blackberry, Windows Mobile ve Symbian versiyonları mevcut
Developer Provisioning Profile kullanılmış ve hedef alınan cihazların UDID değerleri profile dosyasında yer alıyor
31b4f49bc9007f98b55df555b107cba841219a21, 73b94de27cb5841ff387078c175238d6abac44b2, 0b47179108f7ad5462ed386bc59520da8bfcea86, 320184fb96154522e6a7bd86dcd0c7a9805ce7c0, 11432945ee0b84c7b72e293cbe9acef48f900628, 5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8
![Page 15: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/15.jpg)
DROPOUTJEEP - 2013Snowden’ın sızdırdığı NSA belgelerinde yer alıyor
iPhone cihazlara yerleştirilen bir arka kapı sayesinde cihazlar sahiplerini dinleme, izleme ve casusluk amaçlarıyla kullanılıyor.
Detayları çok net bilinmiyor
NSA’in elinde çok sayıda iOS exploiti olduğu söyleniyor
Apple’ın NSA ile birlikte çalıştığı iddia edildi, Apple reddetti.
![Page 16: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/16.jpg)
Mactans Malicious Charger (PoC) - 2013Provisioning Profile kullanılıyor.
Şarj cihazı görünümlü bir BeagleBone ile malware cihaza yükleniyor
![Page 17: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/17.jpg)
Unflod Baby Panda - 2014Jailbroken cihazları etkiliyor
MobileSubstrate kullanarak SSLWrite() fonksiyonuna kanca atıyor
SSL ile gönderilen AppleID ve parolasını sunucusuna gönderiyor
Geçerli bir iOS geliştirici sertifikasıyla imzalanmış
![Page 18: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/18.jpg)
Jailbroken olmayan cihazları etkiliyor
Gelişmiş Anti-analiz teknikleri içeriyor.
Saldırı temelde 2 aşamadan oluşuyor:
1. OSX Makine enfekte edilir (3rd Party Mac App Store üzerinden - 467 torjanized OSX App)
2. USB bağlantısı üzerinden iOS cihaz enfekte edilir
Zararlı iOS app üretimi işlemini otomatize bir şekilde yapan ilk zararlı yazılım
Enterprise Provisioning kullanarak 3rd party uygulamaları non-jailbroken cihazlara kuran ilk zararlı yazılım.
2014
![Page 19: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/19.jpg)
OSX makinede çalışan zararlı yazılım internetten iOS app’ler indiriyor.
Bu app’lerin hepsi Enterprise Provisioning Profile barındırıyor.
2014
![Page 20: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/20.jpg)
Herhangi bir cihaz enfekte OSX makineye bağlandığında cihazın JB olup olmadığı kontrol ediliyor
JB’li ise cihazdaki bazı app’lerin yedeği alınıyor, bu app’ler torjanize ediliyor ve tekrar cihaza kuruluyor
JB’li değil ise Enterprise Provisioning Profile yardımıyla daha önce indirilmiş app’ler cihaza kuruluyor.
Zararlı yazılı kurulduğu cihazda, Serial number, Phone number, Model number, Device type & version name, Apple ID, UDID, Wi-Fi address, Disk usage, Telefon defteri, SMS Mesajnları gibi bilgileri topluyor, sunucuya gönderiyor.
2014
![Page 21: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/21.jpg)
PawnStorm & XAgent - 2015Askeri kurumlar, kamu kurumlar, savunma sanayii ve medya sektörlerini hedef alıyor.
Siber espiyonaj amaçlı bir zararlı yazılım
SEDNIT siber espiyonaj kampanyasının bir parçası
Kişisel veriler çalma (telefon rehberi, SMS mesajları, fotoğraflar, konum, yüklü uygulamalar), ses kaydı ve ekran kaydı alınması. Toplanan bilgilerin C&C sunucusuna gönderilmesi
Kod yapısı çok profesyonel
![Page 22: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/22.jpg)
PawnStorm & XAgent - 2015
Jailbroken olan cihazları etkileyen versiyonun yanında Jailbroken olmayan cihazlar için de bir versiyonu mevcut
Enterprise Provisioning Profile kullandığı tahmin ediliyor.
![Page 23: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/23.jpg)
HackingTeam - 2014, 2015CVE-2014-4494, CVE-2015-3722 ve CVE-2015-3725 gibi açıklıklar kullanılmış (Masque)
Popüler uygulamaların trojanized versiyonları ile bilgi toplama ve izleme yapılıyor
Enterprise Provisioning Profile kullanılmış.
HackingTeam’in sızan belgeleri içerisinde 11 tane uygulama tespit edildi
![Page 24: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/24.jpg)
XCodeGhost - 2015XCode geliştirme ortamının trojanized hali kullanılarak compile edilen uygulamaların içerisine zararlı kod enjekte ediyor.
OSX platformu için geliştirilmiş ilk compiler zararlısı
Torjanize edilmiş 36 iOS uygulaması bulunuyor ve bunlardan bazıları AppStore kontrollerini geçip App Store’da yer alıyor
Cihazlardan veri toplayıp C&C sunususuna iletiyor.
![Page 25: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/25.jpg)
XCodeGhost - 2015
![Page 26: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/26.jpg)
XCodeGhost - 2015Apple XCodeGhost ile ilgili bir bülten yayınladı:
http://www.apple.com/cn/xcodeghost/
![Page 27: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/27.jpg)
YiSpecter - 2015Çinli ve Tayvanlı ISP’lere ait trafik hijack edilerek:
Browse edilen sayfa içerisinde JavaScript ve HTML kodu enjekte ediliyor.
Uygulama indirme linkleri değiştirilerek kullanıcılar zararlı uygulamalara yönlendiriliyor
Çinli meçhur Chat uygulaması QQ mesajları içerisinde zararlı yazılıma yönlendirici linkler gönderiliyor
Kullanıcılardan +18 video izleyebilecekleri bir uygulama indirmeleri isteniyor
Hücresel veri veya kurumsal internet üzerinde böyle bir problem yaşanmıyor.
![Page 28: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/28.jpg)
YiSpecter - 2015Enterprise Provisioning Profile ile imzalanmış 4 adet alt komponentten oluşuyor.
Bu komponentlerden bazıları kendisini Passbook, Game Center gibi sistem uygulamaları olarak göseriyor
Private API fonksiyonlarını kullanarak hassas işlemler yapabiliyor ve App Store kontrollerini atlatabiliyor
Uygulamalarda araya girip reklam gösteriyor
Safari homepage’ini, arama motorunu, bookmark’ları güncelliyor
Cihazdan veri toplayıp C&C sunucusuna gönderiyor
![Page 29: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/29.jpg)
MUDA - 201512 Eylül 2015’de sample’ları yayınlandı
2 yıldır aktif olduğu biliniyor
Jailbroken cihazları etkiliyor
Kullanıcıya reklam gösteriyor ve kullanıcıdan app indirmesini istiyor.
![Page 30: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/30.jpg)
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
YiSpecter(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
İnterne&eTespitEdilmişiKeeveDuh(2009)
"FindandCall”(2012)
Packages(2012,2013)
AdThief(2014)
Unflod(2014)
AppBuyer(2014)
WireLurker(2014)
XssermRAT(2014)
LockSaverFree(2015)
PawnStrom(2015)
KeyRaider(2015)
XCodeGhost(2015)
Muda(2015)
ÜlkelerTara4ndanKullanılan
FinSpy(2012)
DROPOUTJEEP(2013)
HackingTeam(2014,2015)
IncepYon(2014)
Xagent(2015)
İnterne&eSa9şıOlan
1Mole
Copy9,Copy10
FlexiSpy
iKeyGuardKeyLogger
iKeyMonitorKeyLogger
InnovaSPY
MobileSpy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rmaAmaçlı
iSAM(2011)
Instastock(2011)
Mactans(2013)
Jekyll(2013)
XARAA]acks(2015)
NeonEggShell(2015)
![Page 31: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/31.jpg)
Sonuç:Evet, iOS platformunu tehdit eden zararlı yazılımlar mevcut
Hayır, iOS zararlı yazılımları sadece JailBroken iOS kullanıcılarını etkilemiyor
Evet, Bu zararlı yazılımların bazıları (Toplamda 6-7 tür) App Store’da yer almış
Evet, Provisioning Profile ile zararlı yazılım yüklenmesi en etkili saldırı verktörü
Evet, Bilgisayar üzerinden zararlı yazılım yüklenmesi kullanılan saldırı vektörlerinden
Evet, iOS zararlı yazılım pazarında Çin ve uzak doğu önemli bir rol oynuyor
![Page 32: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/32.jpg)
Referanslarhttps://mobile-security.zeef.com/oguzhan.topgul#block_54614_ios-malware
https://www.theiphonewiki.com/wiki/Malware_for_iOS
http://blog.fortinet.com/post/ios-malware-does-exist
http://www.engadget.com/2009/11/07/jailbreak-worm-rickrolls-the-unsecured/
https://nakedsecurity.sophos.com/2009/11/23/lightning-strikes-iphone-malware-malicious/
https://securelist.com/blog/incidents/33544/find-and-call-leak-and-spam-57/
https://www.sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html
https://www.theiphonewiki.com/wiki/Misuse_of_enterprise_and_developer_certificates
https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware.html
![Page 33: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/33.jpg)
Referanslarhttp://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-ios-espionage-app-found/
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/
http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/
http://www.cse.buffalo.edu/~mohaisen/classes/fall2015/cse709/docs/deng-ccs15.pdf
https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/
http://www.securityweek.com/ios-malware-found-hacking-team-leak-exploits-masque-flaws
http://link.springer.com/chapter/10.1007%2F978-3-642-21424-0_2
https://gist.github.com/secmobi/257166bb21d0a650fc93
![Page 34: iOS'da Zararlı Yazılım Yok (mu?)](https://reader034.vdocuments.pub/reader034/viewer/2022042619/587df6681a28abab7e8b5d93/html5/thumbnails/34.jpg)
Teşekkürler…