链接到所有部分:第1部分。对移动设备的初始访问(初始访问)第2部分。持久性和升级第3部分。获取凭据访问(凭据访问)第4部分。第5部分。发现与横向运动对手使用各种方法来捕获密码,令牌,加密密钥和其他凭据,以实现对移动设备资源的未授权访问。 对手获取合法的凭据可以使您识别并获取系统或网络中受感染帐户的所有权限,这使得检测恶意活动变得困难。 有了适当的访问权限,攻击者还可以创建合法帐户,以供其在受攻击的环境中使用。
对于使用本文中阐述的信息可能造成的后果,作者概不负责,对于某些表述和术语可能存在的不准确性,我们深表歉意。 发布的信息是ATT @ CK移动矩阵:设备访问权内容的免费重述。平台: Android
描述: Android辅助功能是一个针对残疾人的工具包。 恶意应用程序可能使用Android可访问性功能来获取敏感数据或执行恶意操作。 事实是,提供可访问性服务的API允许您访问与用户交互的界面的内容(例如,阅读或创建电子邮件,编辑文档等)。 此功能使残疾人能够使用公共移动应用程序。 操作系统的这种功能也吸引了恶意软件作者,但是,要激活Android可访问性功能,用户必须执行许多异常操作并最后带有安全警告。
保护建议: OS版本Android 7.0及更高版本包括针对此技术的附加保护。 在允许将应用程序安装在公司环境中之前,建议您检查它是否可能滥用辅助功能或实施移动应用程序信誉服务以识别已知的恶意应用程序。
平台: Android
说明:在4.1版之前的Android中,攻击者可以使用具有READ_LOGS权限的恶意应用程序来获取私钥,密码以及其他凭据和设备系统日志中存储的机密数据。 在Android 4.1及更高版本中,攻击者只有在成功提升OS的权限后才能访问日志。
保护建议:如果您是移动应用程序的开发人员,则不应将敏感数据写入生产应用程序的系统日志。
从Android 4.1开始,应用程序无法访问系统日志(应用程序本身添加的条目除外)。 通过物理访问设备,可以使用
Android调试桥(adb)实用程序通过USB获取系统日志。
平台: Android,iOS
描述:攻击者可以尝试读取包含机密或凭据(私钥,密码,访问令牌)的文件。 此方法需要操作系统中提升的特权或系统中存在以不安全方式(具有不安全的访问权限或在不安全的位置,例如在外部存储目录中)存储数据的目标应用程序。
保护建议:确保您使用的应用程序不会以不安全的权限或在不安全的地方存储敏感数据。 Android和iOS提供了将凭据存储在孤立位置的硬件中的功能,即使权限成功升级,凭据也不会受到损害。 Android 7在应用程序的内部目录中提供了更高的默认文件权限,从而降低了使用不安全权限的可能性。
平台: Android
说明: Android Intent或Intent是一个进程间消息传递对象,一个应用程序可以使用该对象来向另一应用程序的组件请求操作。 恶意应用程序可能会注册以接收其他应用程序的意图,然后接收机密值,例如OAuth协议授权代码。
保护建议:检查应用程序是否存在潜在弱点的过程应包括确定对Intent的不安全使用。 移动应用程序开发人员应使用保证仅将意图发送到适当目的地的方法(例如,使用显式意图,检查权限,验证目标应用程序的证书或使用“
应用程序链接” (通过该功能,用户将绕过应用程序选择对话框而重定向到目标应用程序的链接) )(在Android 6.0中添加)。对于使用OAuth的移动应用程序,建议您遵循
最佳做法 。
平台: Android,iOS
说明:恶意应用程序可能试图捕获存储在设备剪贴板上的敏感数据,例如,从密码管理器应用程序复制/粘贴的密码。
保护建议:在公司环境中,建议实施以下程序来检查应用程序的漏洞和有害操作,应用程序安装限制策略以及仅对设备的企业控制部分施加限制的自带设备(BYOD)策略。 EMM / MDM系统或其他移动设备安全解决方案可以检测公司设备上是否存在有害或恶意应用程序。
平台: Android,iOS
描述:恶意应用程序可能会收集SMS消息中发送的敏感数据,包括身份验证数据。 SMS消息通常用于传输多因素身份验证代码。
Android应用程序必须在安装或执行期间请求并接收接收SMS消息的权限。 或者,恶意应用程序可能试图提升特权来规避此保护。 iOS应用程序在常规操作期间无法访问SMS消息,因此敌人将需要首先对特权升级进行攻击。
保护建议:在公司环境中,建议对应用程序进行预扫描以获取RECEIVE_SMS权限。 如果检测到此权限,则该应用程序需要详细分析。
平台: Android
描述:恶意应用程序或其他攻击媒介可用于利用受信任执行环境(TEE)中执行的代码中的漏洞。 然后,对手可以获得TEE所拥有的特权,包括访问加密密钥或其他敏感数据的能力。 要攻击TEE,对手可能首先需要提升的OS权限。 如果不是,则可以使用TEE特权来利用OS漏洞。
保护建议:检查应用程序中的已知漏洞。 安全更新。 使用最新的操作系统版本。
平台: Android,iOS
描述:当用户输入敏感数据(例如用户名和密码)时,恶意应用程序可以注册为设备的键盘并拦截击键。
保护建议:很少将应用程序注册为键盘,因此应在初步检查期间仔细分析执行此操作的那些应用程序。 iOS和Android都需要用户明确许可才能使用第三方软件键盘。 建议用户在授予此类权限之前(请要求时)格外小心。
平台: Android,iOS
描述:攻击者可以捕获传入和传出的流量,或者重定向网络流量,使其经过敌方控制的网关,以获取凭据和其他敏感数据。
恶意应用程序可能会在Android或iOS上注册为VPN客户端,以访问网络数据包。 但是,在两个平台上,用户都必须同意该应用程序才能执行VPN客户端的功能,而在iOS上,该应用程序需要Apple的特殊许可。
或者,恶意应用程序可能试图提升特权,以获取对网络流量的访问权限。 攻击者可以通过建立VPN连接或更改受攻击设备上的代理设置,将网络流量重定向到由他控制的网关。 一个示例就是通过安装恶意的iOS配置配置文件(
指向源的链接 )来重定向网络流量的功能。
安全建议:在允许使用VPN之前,请仔细检查请求VPN访问的应用程序。 流量加密并不总是有效的,因为 对手可以在加密流量之前拦截流量。 iOS和Android都在设备上方的状态栏中可视化VPN连接的建立。
平台: iOS
说明: URL方案(如Apple所称)是URL处理程序,可以由Safari浏览器调用或由应用程序用来调用另一个应用程序。 例如,可以使用tel:方案来启动Phone应用程序并通过将相应的HTML代码放在登录页面上来拨打特定的号码:
<iframe src="tel:"></iframe>
Skype方案:启动“ Skype呼叫”:
<iframe src="skype:user?call"></iframe>
iOS允许来自不同开发人员的应用程序共享相同的URL方案。 恶意应用程序可以使用另一个应用程序的URL方案进行恶意注册,这将使它可以拦截对合法应用程序的调用并使用网络钓鱼接口来获取用户凭据或OAuth授权代码。
保护建议:在分析应用程序安全性时,请检查是否存在潜在危险的URL方案。 优先考虑使用通用链接替代URL方案的程序(这是用户重定向到特定已安装应用程序的链接)。
平台: Android,iOS
描述: UI欺骗用于诱骗用户提供机密信息,包括凭据,银行详细信息或个人数据。
UI替换合法的应用程序或设备功能在Android和iOS上,对手都可以冒充合法应用程序或设备功能的用户界面,从而迫使用户输入机密信息。 与PC相比,移动设备的显示尺寸有限,可能使用户不太可能提供可以提醒用户危险的上下文信息(例如,显示完整的网站地址)。 攻击者还可以在不存在于移动设备上的情况下使用此技术,例如通过伪造的网页。
替代合法申请恶意应用程序可以完全重复目标应用程序-使用相同的名称,图标,并通过授权的应用程序商店将其安装在设备上,或通过其他方式交付(
请参阅应用程序交付技术 ),然后请求用户输入机密信息。
滥用操作系统功能来干扰合法应用程序在旧版Android中,恶意应用程序可能会使用常规OS功能来干扰正在运行的应用程序。 我们正在谈论过时的
ActivityManager.getRunnigTasks方法(在版本5.1.1之前的Android上可用),该方法可让您获取OS进程列表并定义前台应用程序,例如,启动伪造的双重接口。
保护建议:在公司环境中,建议对应用程序进行漏洞和有害操作(恶意或违反机密)的检查,实施应用程序限制策略或带上自己的设备的自带设备(BYOD)策略(带上自己的设备)仅限于设备的企业控制部分。 培训,培训和用户指南将有助于支持公司设备的某些配置,甚至有时还可以防止特定的危险用户操作。
用于保护移动设备的EMM / MDM系统或其他解决方案可以自动检测公司设备上不需要的或恶意的应用程序。 软件开发人员通常可以扫描应用程序商店,以查找使用其开发人员ID发送的未经授权的应用程序。
建议仅使用最新版本的移动操作系统,该版本通常不仅包含补丁程序,而且还具有改进的安全体系结构,可以抵抗以前未发现的漏洞。