链接到所有部分:第1部分。对移动设备的初始访问(初始访问)第2部分。持久性和升级第3部分。获取凭据访问(凭据访问)第4部分。第5部分。发现与横向运动我将开始研究MITER ATT&CK知识库中包含的用于实现黑客攻击的策略和技术的下一系列出版物( 请参阅先前的出版物) 。 本节将描述网络犯罪分子在移动设备的攻击链的每个阶段所使用的技术。削减-破坏移动设备的主要媒介,旨在使攻击者获得被攻击系统的“存在”。
对于使用本文中阐述的信息可能造成的后果,作者概不负责,对于某些表述和术语可能存在的不准确性,我们深表歉意。 发布的信息是ATT @ CK移动矩阵:设备访问内容的免费重述。平台: Android,iOS
描述:恶意应用程序是攻击者在移动设备上“出现”的最常见方法。 移动操作系统通常配置为仅从授权商店(Google Play商店或Apple App Store)安装应用程序,因此攻击者可能会尝试将其恶意应用程序放置在授权应用程序商店中。
应用程序商店通常需要开发人员注册并具有检测恶意应用程序的工具,但反对者可以使用一些方法来绕过商店保护:
- 从应用商店中安装恶意代码后,请在应用执行期间下载恶意代码;
- 混淆文件和信息;
- 善意的移动应用程序开发人员使用泄露的凭证和数字签名;
- 测试绕过系统以自动分析应用程序商店中移动应用程序安全性的可能性。
攻击者可以有意将恶意代码放入应用程序中,以确定它是否在目标商店的安全分析环境中工作,并且在必要时禁用分析过程中恶意内容的启动。 攻击者还可以使用伪造的身份,支付卡等。 在创建开发人员帐户时会进一步发布商店中的恶意应用程序。
此外,反对者还可以使用受到破坏的Google用户帐户来利用在与受控Google帐户相关联的android设备上远程安装应用程序的优势(使用此技术,您只能从Google Play商店远程安装应用程序)。
保护建议:在公司环境中,建议对应用程序进行漏洞和有害操作(恶意或违反机密性)的检查,实施应用程序限制策略或自带设备(BYOD)策略(带上自己的设备)仅限于设备的企业控制部分 培训,培训和用户指南将有助于支持公司设备的某些配置,甚至有时还可以防止特定的危险用户操作。
用于保护移动设备的EMM / MDM系统或其他解决方案可以自动检测公司设备上不需要的或恶意的应用程序。 软件开发人员通常可以扫描应用程序商店,以查找使用其开发人员ID发送的未经授权的应用程序。
平台: Android,iOS
描述:尽管可能禁止在目标设备上安装来自第三方的应用程序,但对手仍可以故意避免将恶意应用程序放置在授权的应用程序商店中,以降低潜在检测的风险。
替代的应用程序交付方法:- 鱼叉式附件-应用程序作为电子邮件的附件;
- 网络钓鱼链接-指向电子邮件或短信(SMS,iMessage,环聊,WhatsApp等),网站,QR码b等中的移动应用程序包的链接;
- 第三方应用程序商店-该应用程序在应用程序商店中发布,其中没有类似于授权商店的安全控制。
对于iOS,攻击者还可以尝试获取密钥对和企业分发密钥证书,以传播恶意应用程序而不发布到AppStore。
保护建议:在iOS中,激活
allowEnterpriseAppTrust和
allowEnterpriseAppTrustModification参数
将阻止用户安装由企业分发密钥签名的应用程序。
iOS 9及更高版本需要用户明确同意而不是从AppStore安装已签名的企业分发密钥应用程序,因此,如果用户不确定应用程序分发的来源,则应培训他们不同意安装该应用程序。
在Android上,要从第三方来源安装应用程序,必须启用“未知来源”参数,因此应培训用户如何激活和控制此参数。
EMM / MDM或其他用于保护移动设备的解决方案可以识别从第三方来源安装的应用程序的存在,识别允许从第三方来源安装应用程序的Android设备,并确定电子邮件中是否存在Android或iOS应用程序包。
平台: Android,iOS
描述:攻击者可以通过隐藏代码下载来访问移动系统,该隐藏代码下载在用户访问由攻击者控制的网站时执行。 此技术的实现要求用户Web浏览器中存在相应的漏洞。 例如,一个网站可能包含旨在利用Android中的
Stagefright漏洞的恶意媒体内容。
保护建议:从供应商或移动运营商那里购买设备,以保证及时提供安全更新。 由于支持期到期,您应该停止使用没有收到安全更新的易受攻击的设备。
在公司环境中,建议限制和阻止未安装最新安全更新的移动设备对公司资源的访问。 可以基于补丁控制从Android设备进行的访问。 可以根据OS版本控制从iOS设备进行的访问。
建议仅使用最新版本的移动操作系统,该版本通常不仅包含补丁程序,而且还具有改进的安全体系结构,可以抵抗以前未发现的漏洞。
平台: Android,iOS
描述:可以将移动设备(通常通过USB)连接到受损的充电站或PC,攻击者可以使用这些充电站或PC尝试访问该设备。
成功攻击的著名示范:
预计
Cellebrite和Grayshift产品将使用对数据端口的物理访问来解锁某些iOS设备上的密码。
保护建议:公司安全策略应防止在Android设备上包含USB调试(如果不需要,例如,当设备用于应用程序开发时)。 在能够解锁引导加载程序,允许您修改固件的设备上,需要定期检查以实际锁定引导加载程序。
不建议您使用公共充电站或计算机为设备充电。 向用户提供从值得信赖的供应商处购买的充电器。 除非必要,否则不建议用户添加受信任的设备。
描述:漏洞可能通过蜂窝通信接口或其他无线电接口来利用。
基带漏洞通过无线电接口(通常是蜂窝电话,也可以是蓝牙,GPS,NFC,
Wi-Fi等)发送到移动设备的消息可以利用
处理接收到的消息的代码中的
漏洞 (例如,
三星S6中的
漏洞) 。
恶意短信SMS可能包含旨在利用接收设备上的
SMS分析器中的漏洞的内容。 SMS还可能包含指向包含恶意内容的网站的链接。
易受攻击的SIM卡可以通过SMS消息进行远程利用和重新编程。
保护建议:从供应商或移动运营商那里购买设备,以保证及时提供安全更新。 由于支持期到期,您应该停止使用没有收到安全更新的易受攻击的设备。
在公司环境中,建议限制和阻止未安装最新安全更新的移动设备对公司资源的访问。 可以基于补丁控制从Android设备进行的访问。 可以根据OS版本控制从iOS设备进行的访问。
建议仅使用最新版本的移动操作系统,该版本通常不仅包含补丁程序,而且还具有改进的安全体系结构,可以抵抗以前未发现的漏洞。
平台: Android,iOS
描述:攻击者可能试图使用网络钓鱼消息或包含配置文件作为附件的文本消息或指向配置参数的Web链接,在移动设备上安装不安全或恶意的配置。 设置配置参数时,可以使用社交工程方法来欺骗用户。 例如,可以将不需要的证书颁发机构证书(CA)放置在设备的受信任证书存储中,这会增加设备对中间人攻击的敏感性。
在iOS上,恶意配置配置文件可能包含不需要的证书颁发机构(CA)证书或其他不安全的设置,例如用于通过攻击者系统路由设备流量的不需要的代理或VPN服务器的地址。 该设备还可以注册到敌方移动设备管理系统(MDM)中。
保护建议:在iOS 10.3及更高版本中,添加了一个附加步骤,要求用户执行操作才能安装新的受信任CA证书。 在Android上,默认情况下,与Android 7和更高版本(API级别24)兼容的应用程序仅信任操作系统随附的CA证书,而不是用户或管理员添加的CA证书,这通常会降低操作系统对中间人攻击的敏感性。
通常,未经用户同意不会设置不安全或恶意的配置设置,因此用户应注意,他们不应设置意外的配置设置(CA证书,iOS配置配置文件,建立与MDM的连接)。
在Android上,用户可以通过设备设置查看受信任的CA证书,以识别可疑证书。 用于移动设备的公司安全系统可以类似地自动检查证书存储中是否存在异常。
在iOS上,用户可以通过设备设置查看已安装的配置文件并识别可疑文件。 同样,MDM系统可以使用iOS MDM API检查已安装的配置文件列表中是否存在异常。
平台: Android,iOS
说明:可以物理访问移动设备的攻击者可能会尝试绕过设备的锁定屏幕。
生物特征欺骗对手可能试图欺骗生物特征认证机制。 iOS每次重新启动后以及上一次解锁后48小时内要求输入设备密码而不是指纹来部分缓解此攻击。 Android具有类似的保护机制。
猜猜解锁代码或简单的搜索攻击者可能会尝试猜测或以其他某种方式猜测访问代码,包括在用户使用设备时进行的物理观察(肩膀冲浪)。
其他锁屏漏洞Android 5和iOS 6及其他移动设备会定期演示如何利用漏洞绕过锁定屏幕。 漏洞通常由设备或操作系统开发人员在意识到漏洞的存在后立即修复。
保护建议:移动设备的公司安全策略应为设备的密码复杂性设置要求。 公司政策可能包括当重复输入错误密码时自动销毁设备上的所有数据。 这两种策略都旨在防止暴力攻击,猜测或“窥探”访问代码。
如有必要,公司政策也可能禁止生物特征认证。 但是,生物识别认证比使用冗长且复杂的访问代码更方便,因为您不必每次都输入。
建议您安装安全更新并使用最新版本的移动操作系统。
平台: Android,iOS
描述:对手可以下载应用程序,对其进行反汇编,添加恶意代码,然后重新进行组合(
示例 )。 重建的应用程序将看起来像原始的应用程序,但包含其他恶意功能。 然后,可以使用其他技术将这样的应用程序发布在应用程序商店中或传递给设备。
保护建议:仅从不太可能包含恶意重新打包应用程序的授权存储中安装应用程序。
EMM / MDM系统和其他企业级移动应用程序安全工具可以自动检测设备上不需要的,未知的,不安全的或恶意的应用程序。
平台: Android,iOS
描述:供应链折衷是在消费者收到软件产品和产品交付机制之前对它们进行的修改,以破坏数据或系统。 对手可以利用无意中的漏洞,因此在许多情况下,很难确定易受攻击的功能是恶意的还是无意的错误的结果。
识别第三方软件库中的漏洞移动应用程序中包含的第三方库可能包含破坏隐私或创建漏洞的恶意代码。 移动广告库中存在漏洞和安全性问题的已知示例。
分发恶意软件开发工具正如
XcodeGhost攻击所
表明的那样 ,应用程序开发人员可以使用软件开发工具(例如,编译器)的修改版本,这些修改后的版本会自动向应用程序中注入恶意代码或漏洞。
保护建议:可以通过各种应用程序验证方法来检测不安全的第三方库。 例如,“ Google应用程序安全性改进计划”会检测Google Play商店中可用的Android应用程序中具有已知漏洞的第三方库的使用。 可以使用开发人员计算机上的文件完整性监视系统来检测恶意软件开发工具和经过修改的软件开发人员工具。