Skip to content

WireLurker – Ein Überblick und Erkennungsmaßnahmen

by Daniel Lengies on November 17th, 2014

In den vergangenen Tagen wurden die Medien auf eine Meldung von Palo Alto Networks aufmerksam, die den OS X/iOS-Schädling WireLurker aufgespürt haben. WireLurker ist eine Malware, mit der es erstmalig möglich ist, von dem – bisher aufgrund der Systemarchitektur, basierend auf dem XNU-Kernel mit FreeBSD-Elementen als verhältnismäßig sicher geltenden – Betriebssystem Mac OS X ein via USB  verbundenes iOS-Gerät auch bei nicht-gejailbreakten Geräten zu infizieren. Aufgetaucht ist der Schädling erstmals im chinesischen, inoffiziellen AppStore Maiyadi. Schnell hat sich jedoch auch ergeben, dass der Schädling ebenfalls für die Verbreitung außerhalb dieses Stores geschrieben ist.

Möglich ist die Installation über die Ausnutzung von Enterprise-Zertifikaten, die von MDM-Systemen genutzt werden, um auf sicherer Basis Unternehmensdaten mit dem Mobilgerät zu synchronisieren und die Kommunikation mit dem MDM-Server des Unternehmens abzusichern. Zuerst wurde noch eine Sicherheitswarnung beim Ausführen gezeigt, die auf ein nicht vertrauenswürdiges Zertifikat hinweist. Mittlerweile kann es aber durchaus sein, dass ein vom Betriebssystem als vertrauenswürdig eingestuftes Zertifikat von den Angreifern genutzt wird, bei dem diese Warnung nicht erscheint. Es können über diesen Weg etliche Informationen über den Gerätezustand, installierte Apps, Kontakte und Nachrichten des Gerätes ausspioniert werden.

Ist daher eine Anschluss am PC oder Mac nicht zwingend notwendig, sollte dies vorerst vermieden werden. Geladen werden kann das Gerät über die Steckdose und einen USB/AC-Adapter, die meisten Einrichtungsschritte können mittlerweile ebenfalls ohne einen Computer erfolgen, sofern eine WLAN-Verbindung vorliegt.

Zudem sollte man unter Einstellungen„-„Allgemein„-„Profile prüfen oder bei Geräten, die durch das Unternehmen verwaltet werden durch die IT-Abteilung prüfen lassen, ob die installierten Profile zum Management der Geräte notwendig sind. Bei privaten Geräten sollten sich dort keine Profile befinden, sofern man Webmail-Dienste nutzt. Verschlüsselt man die Mailkommunikation und/oder versieht die Mailkommunikation mit einer digitalen Signatur, sollten sich dort, je nachdem, ob man nur signiert oder auch verschlüsselt, 1-2 Benutzer-Profile pro Mailpostfach befinden. Wer ganz sicher gehen will, sollte alle Profile entfernen und neu installieren bzw. das Gerät über die IT-Abteilung auf Werkseinstellungen zurücksetzen erneut ausrollen lassen.

Palo Alto hat nun auf github ein entsprechendes Erkennungstool für Mac- und Windows-Nutzer veröffentlicht. Eine Anleitung für beide Varianten ist ebenfalls github zu entnehmen. Natürlich sollte bei einem infizierten Host-System ebenfalls eine Neuinstallation durchgeführt werden.