您的位置: 首页  >  文章  >  MITRE知识库中Android行为列表

MITRE知识库中Android行为列表

分类: 文章 2024-10-28 18:02:34

1. 引入

MITRE ATT&CK的介绍来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。

它从整个攻击路径的顺序,对企业级平台和移动平台都做了详细的说明。不同的操作系统都有不同的攻击方式,所以它对Windows,macOS,Linux,Cloud,Android和iOS都有相应的描述。以Android平台为例,系统的攻击技术如下图所示:

MITRE知识库中Android行为列表

这个表中的每一列表示要实现某种攻击,所用的具体技术。列名就是攻击者想做到的攻击的描述,列名下面就是实现这种攻击的具体技术。

本文会按照上图的提纲[2],对其中各个技术做一个概述性的说明,以方便大家理解。

2. 概述

  1. Initial Access:恶意APP如何进入/安装到你的设备
  • 把样本上传到app store
    • 正常发布
    • 拿到正常开发者的账号去发布
    • 发布时正常,运行时下载payload
  • 其他手段上传
    • 钓鱼链接:email,sms
    • 第三方APP Store
  • Drive-by Compromise
    • 水坑攻击:网站被挂马,自动下载
  • 充电站
    • 修手机的人给你安装上
  • Exploit via Radio Interfaces
    • 基站接口:蓝牙,GPS,SMS
    • 伪wifi:点击认证,安装APK
  • Install Insecure or Malicious Configuration
    • banker替换CA,做Man-in-the-middle攻击
    • ios下加了证书后,就可以通过网络安装了,而不是通过app-store安装
  • Lockscreen Bypass
    • 解锁后安装app
    • 人脸识别,逃逸
    • 密码简单,暴力**
    • Lockscreen Vulnerabilities漏洞
  • Masquerade as Legitimate Application
    • 把自己伪装为合法应用:banker,引导用户去下载
    • repack,往里面塞入malicious的东西
  • Supply Chain Compromise
    • 手机到达用户之前,经过了很多渠道:运输,售卖,xxx
    • 这些渠道可能会操作你的设备
    • 比如买的水货机被刷rom刷入了malware
    • XcodeGhost: Xcode被做了手脚,开发的app都有问题
  1. Persistence: 长期待在你的设备里
  • Abuse Device Administrator Access to Prevent Removal
    • 用户不容易卸载有device admin权限的app
  • App Auto-Start at Device Boot
    • 接收到开机广播后就启动,BOOT_COMPLETED
  • Modify Cached Executable Code
    • DEX转化为ODEX这个就是cache
    • 编译过程中,DEX放到某个地方,可能会被替换
  • Modify OS Kernel or Boot Partition
    • 修改启动脚本,启动其他APP
  • Modify System Partition
    • mount系统分区后,修改app下面的内容
  • Modify Trusted Execution Environment
  1. Privilege Escalation: 提权
  • Exploit OS Vulnerability: 主要是根据漏洞来提高权限,获取root权限后,就可以为所欲为了
  • Exploit TEE Vulnerability
  1. Defense Evasion:逃脱杀毒软件的检测
  • Application Discovery
    • 如果发现你安装杀毒软件,就欺骗用户卸载这些软件,或不起作用
    • 如果你安装了特定的APP,认为你是特定群体的被攻击对象
  • Device Lockout
    • 把你的手机锁屏,让你交钱才解锁
  • Disguise Root/Jailbreak Indicators
    • 比如攻击者把"su"换了个名字,杀软就不好检测了
  • Download New Code at Runtime
    • 软件本身无恶意代码,运行起来才下载恶意代码/APP
  • Evade Analysis Environment: 沙箱逃逸(根据电量xxx,以及固定值)
  • Input Injection
    • 第三方输入法,偷取用户输入的密码
    • accessibility做一些点击事件
  • Install Insecure or Malicious Configuration
  • Modify OS Kernel or Boot Partition
  • Modify System Partition
  • Modify Trusted Execution Environment
  • Obfuscated Files or Information
    • 混淆(字符串,变量,方法名),导致script-ptn无法打
  • Suppress Application Icon
    • hide icon
  1. Credential Access:拿到机密信息
  • Access Notifications
    • 其他APP直接从通知栏读验证码
  • Access Sensitive Data in Device Logs
    • 4.1之后拿不到别人的log了
  • Access Stored Application Data
    • 获取微信存储数据的文件
  • Android Intent Hijacking
    • 恶意软件接受输入其他app的intent,就能获取intent中含有的比如oauth的值
  • Capture Clipboard Data
  • Capture SMS Messages
  • Exploit TEE Vulnerability
    • 厂商搞的可执行环境
  • Input Capture
    • 伪装成输入法,从而偷取用户的输入
  • Input Prompt
    • 钓鱼:提示用户输入用户名密码
    • 正版APP起来后,新启一个页面覆盖到最上面
  • Network Traffic Capture or Redirection
  1. Discovery
  • Application Discovery
    • 判断用户是否安装了杀软
  • Evade Analysis Environment
  • File and Directory Discovery
    • 遍历某个dir下的所有文件
  • Location Tracking
    • 通过IP,基站,GPS定位
  • Network Service Scanning
    • 通过员工手机,去攻击内网
  • Process Discovery
    • 通过ps命令,拿到当前运行的所有process
  • System Information Discovery
    • 拿到os版本等
  • System Network Configuration Discovery
    • 拿到 IMSI,sim卡号,拿到phone number
  • System Network Connections Discovery
    • 手机当前手机上的其他所有APP的网络的链接情况
  1. Lateral Movement: 横向移动,从一个device跳到另一个device
  • Attack PC via USB Connection
    • 手机作为USB设备接入PC,点击一些快捷方式,PC就中招
  • Exploit Enterprise Resources
  1. Impact
  • Clipboard Modification
    • 修改剪贴板的内容
    • APP往剪贴板中插入内容
  • Data Encrypted for Impact
  • Delete Device Data: 删除数据
  • Device Lockout
  • Generate Fraudulent Advertising Revenue: 广告欺诈流量
  • Input Injection
    • 你要卸载一个app,就一直自动点击后退,让你无法卸载
  • Manipulate App Store Rankings or Ratings :刷版
  • Modify System Partition
  • Premium SMS Toll Fraud
    • 订阅付费短信
  1. Collection:手机手机上的个人隐私信息
  • Access Calendar Entries
    • 获取你在日历中的日程记录
  • Access Call Log
    • 打电话的通话记录
  • Access Contact List
    • 联系人信息
  • Access Notifications
    • 其他APP发送的通知,比如验证码
  • Access Sensitive Data in Device Logs
    • 有些APP会把用户名密码输出到log
  • Access Stored Application Data
    • 其他应用的数据,比如微信的聊天记录文件
  • Capture Audio
    • 通过手机mic采集你说话的音频
  • Capture Camera
    • 偷偷的打开相机来拍照
  • Capture Clipboard Data
    • 剪贴板中的数据,可能有你复制的密码
  • Capture SMS Messages
    • 短信
  • Location Tracking
    • GPS定位
  • Network Information Discovery
    • 网络服务信息,比如使用哪个运营商的网络
  • Network Traffic Capture or Redirection
    • 你上网的流量
  • Screen Capture
    • 偷偷给你截屏后发送到攻击者的服务器
  1. Exfiltration:如何让企业防火墙/流量扫描检测不到
  • Alternate Network Mediums
    • 用sms通信,来躲避企业内部的流量扫描
  • Commonly Used Port
    • 使用通用接口通信,来躲避防火墙的检测
  • Data Encrypted
  • Standard Application Layer Protocol
  1. Command and Control
  • Alternate Network Mediums
    • 使用wifi而不是企业网络来通信,躲避企业内部的网络检测
  • Commonly Used Port
  • Domain Generation Algorithms
  • Standard Application Layer Protocol
  • Standard Cryptographic Protocol
  • Uncommonly Used Port
  • Web Service

3. 参考

相关推荐