|高管2021年7月20日


2021年7月20日

保护自己免受强大的帕伽索斯间谍软件

经过汉克中行

作者注:这篇文章旨在概述Pegasus,为什么您应该关注它,Lookout如何帮助保护您,以及安全管理员应该采取什么行动。如需更多信息,请阅读我们的全文技术报告

注意客户:如果你认为你的组织或你的员工受到了帕伽索斯的威胁,请联系我们支持团队立即地。

潜在的Pegasus目标的启示

第一个被监视和公民实验室揭露2016年,高度先进的移动间谍软件Pegasus最近证实已用于商业管理人员,人权活动家,记者,学者,政府官员。

在联合调查泄露50,000多个电话号码的泄露清单中,17个媒体组织发现了从已知的国家从事监视的国家的高分子。这些地区也被称为NSO集团的客户,以色列的基于以色列的公司,背后于Pegasus和未经监测间谍软件行业的已知领导者。

即使您的电话号码不在列表中,此启示术说明了平板电脑和智能手机并不对Cyber​​Actackss和Spyware不仅仅是政府组织的目标人员。Android和iOS设备现在是我们如何工作和管理日常生活的一个组成部分。这意味着网络攻击者可以从这些设备窃取丰富的敏感数据,包括敏感的个人信息和专有的企业数据。

什么是pegasus?

曾经考虑过世界上最先进的移动间谍软件,Pegasus可以部署在IOS和Android设备上。自缺货以来发现,间谍软件继续发展。什么使Pegasus高度复杂是控制它在受害者的设备上给恶意演员,它可以提取的数据以及它进入零点击有效载荷。

Pegasus可以从WhatsApp和Signal等应用程序中提取高度精确的GPS坐标、照片、电子邮件文件和加密信息。它还可以打开设备的麦克风来窃听房间内的私人谈话或电话,并激活摄像头来录制视频。

多年来,NSO集团一直否认Pegasus被恶意行为者使用。该公司声称,他们只向大约40个国家的情报和执法机构出售帕伽索斯,而且所有的前景都经过严格审查。2018年记者贾马尔·哈苏吉(Jamal Khashoggi)被暗杀一事引发了人们对这一说法的严重质疑,因为人们普遍认为沙特政府跟踪了哈苏吉通过损害他的手机与Pegasus。

公民和政府都应该感到担忧

珀伽索斯间谍软件使用范围之广的曝光应该引起所有公民的警惕,而不仅仅是政府实体。间谍软件的商业化,类似于网络钓鱼工具,将每个人置于危险之中。

移动设备可以从任何地方访问与PC相同的数据。这极大地增加了组织的攻击面和风险,因为移动设备通常使用在安全范围之外。这使得任何能够访问敏感数据、技术研究或基础设施的高管或员工,都成为网络罪犯有利可图的目标。

在移动操作系统和应用程序开发者不断提高产品安全性的同时,这些平台也变得越来越复杂。这意味着总会有漏洞被利用的空间,也会有像Pegasus这样的间谍软件蓬勃发展的空间。

移动网络钓鱼攻击仍然存在

尽可能多地改变,移动网络钓鱼仍然是网络攻击者最有效的第一步。就像其他移动恶意软件一样,Pegasus通常通过网络钓鱼链接向其受害者提供。最有效的网络钓鱼链接交付与社会工程。例如,Pegasus被一名记者引起了我们的注意,他们被发送了一个关于他们正在努力的人权故事的匿名手机号码的联系。

虽然Pegasus已经发展到零接触传输模式——这意味着受害者不需要与间谍软件交互,他们的设备就会被入侵——但间谍软件的链接仍然必须到达设备。考虑到无数的iOS和Android应用程序都有短信功能,这可以通过短信、电子邮件、社交媒体、第三方短信、游戏甚至约会应用程序实现。

这些攻击如何工作以及了解如何帮助保护您

飞马使用的高级战术类似于许多其他高级持续威胁(apt)。以下是Lookout如何在apt实施攻击时使用的这些主要策略的背景下帮助保护您的组织:

1.有效载荷传递

Pegasus和任何APT的第一步通常是通过网络钓鱼。监视网络钓鱼和内容保护(PCP)可以保护您的组织免受Pegasus和其他apt使用的每一种情况的影响:

  • Pegasus可以作为零点击或单击感染执行。无论使用哪种策略,实际的间谍软件包有效负载仍在网络上加载。
  • 管理员动作:在您的整个移动机群中启用PCP,并激活默认策略,要求用户在其设备上启用PCP,以便访问互联网和公司资源。
  • 我们如何做到: Lookout持续发现、获取和分析新注册的域名和网站,以发现那些专门为钓鱼和恶意目的而构建的域名和网站。Lookout PCP使我们能够提供近实时的保护,以抵御零时网络钓鱼攻击。

2.漏洞利用

间谍软件经常在App和设备级别利用漏洞,以便从系统的特定部分访问设备的OS或exfiltrate数据。

  • Lookout应用程序可以在最终用户设备上存在应用程序漏洞时,并且当设备运行具有已知漏洞的操作系统或Android安全补丁级别(ASPL)版本时。在每种情况下,监视可以提醒用户和管理员。
  • 管理员动作:启用所需的最低操作系统或ASPL版本策略以及漏洞的应用程序版本策略。如果您希望被授予对公司资源的访问权限,请要求用户将其设备和应用更新到最新版本。
  • 我们如何做到:Lookout Mobile漏洞管理在操作系统和应用程序级别发现所有已知的iOS和Android的常见漏洞和暴露(CVE)。它会自动标记你舰队中存在任何漏洞的设备。

3.设备妥协

Pegasus和其他APTS将默默地越狱或root是受害者的设备。此外,虽然零日漏出本质上尚不清楚,但它们将系统置于受损状态。Lookout移动终端安全可以通过以下方式保护您的组织的移动船队从这些漏洞中提供:

  • 景点可以检测设备妥协和警报用户的指标。检测基于各种数据,包括文件系统数据,系统行为和参数。
  • 根据间谍软件包的详细信息,例如如何运行或在设备系统上坐在哪里,它可能会产生视图检测代码可以识别的迹线。
  • 管理员动作:确保默认的Root/Jailbreak策略是激活的,设置优先级为高,并设置动作提醒设备并阻止访问internet。
  • 我们如何做到:当心持续摄取来自移动生态系统的恶意软件工件和遥测。这为我们的机器智能提供了自动识别任何设备或应用程序的恶意行为。

4.从有效载荷进行沟通

与其他恶意软件类似,Pegasus将与一个命令和控制(C2)服务器通信,从那里它将接受来自恶意行为者的命令,并向其发送窃取的数据。

  • 就像任何网站一样,C2服务器托管在远程系统上,该远程系统可以识别为恶意。
  • 管理员动作在组织中启用PCP并激活要求用户在其设备上启用它以访问Internet和公司资源的默认策略。
  • 我们如何做到:Lookout可以检测设备何时尝试连接到C2服务器并终止连接。这有助于防止敏感数据exfiltration和额外的恶意软件下载。

要了解网络钓鱼和内容保护的移动终端安全,请联系我们的团队安排演示。

了解如何保护你的智能手机和平板电脑

请求演示call_made

免费试用call_made

联系销售call_made


作者

汉克中行
安全解决方案高级经理