1. 引入
MITRE ATT&CK的介绍来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。
它从整个攻击路径的顺序,对企业级平台和移动平台都做了详细的说明。不同的操作系统都有不同的攻击方式,所以它对Windows,macOS,Linux,Cloud,Android和iOS都有相应的描述。以Android平台为例,系统的攻击技术如下图所示:
这个表中的每一列表示要实现某种攻击,所用的具体技术。列名就是攻击者想做到的攻击的描述,列名下面就是实现这种攻击的具体技术。
本文会按照上图的提纲[2],对其中各个技术做一个概述性的说明,以方便大家理解。
2. 概述
Initial Access:恶意APP如何进入/安装到你的设备
把样本上传到app store
正常发布拿到正常开发者的账号去发布发布时正常,运行时下载payload 其他手段上传
钓鱼链接:email,sms第三方APP Store Drive-by Compromise
水坑攻击:网站被挂马,自动下载 充电站
修手机的人给你安装上 Exploit via Radio Interfaces
基站接口:蓝牙,GPS,SMS伪wifi:点击认证,安装APK Install Insecure or Malicious Configuration
banker替换CA,做Man-in-the-middle攻击ios下加了证书后,就可以通过网络安装了,而不是通过app-store安装 Lockscreen Bypass
解锁后安装app人脸识别,逃逸密码简单,暴力破解Lockscreen Vulnerabilities漏洞 Masquerade as Legitimate Application
把自己伪装为合法应用:banker,引导用户去下载repack,往里面塞入malicious的东西 Supply Chain Compromise
手机到达用户之前,经过了很多渠道:运输,售卖,xxx这些渠道可能会操作你的设备比如买的水货机被刷rom刷入了malwareXcodeGhost: Xcode被做了手脚,开发的app都有问题
Persistence: 长期待在你的设备里
Abuse Device Administrator Access to Prevent Removal
用户不容易卸载有device admin权限的app App Auto-Start at Device Boot
接收到开机广播后就启动,BOOT_COMPLETED Modify Cached Executable Code
DEX转化为ODEX这个就是cache编译过程中,DEX放到某个地方,可能会被替换 Modify OS Kernel or Boot Partition
修改启动脚本,启动其他APP Modify System Partition
mount系统分区后,修改app下面的内容 Modify Trusted Execution Environment
Privilege Escalation: 提权
Exploit OS Vulnerability: 主要是根据漏洞来提高权限,获取root权限后,就可以为所欲为了Exploit TEE Vulnerability
Defense Evasion:逃脱杀毒软件的检测
Application Discovery
如果发现你安装杀毒软件,就欺骗用户卸载这些软件,或不起作用如果你安装了特定的APP,认为你是特定群体的被攻击对象 Device Lockout
把你的手机锁屏,让你交钱才解锁 Disguise Root/Jailbreak Indicators
比如攻击者把"su"换了个名字,杀软就不好检测了 Download New Code at Runtime
软件本身无恶意代码,运行起来才下载恶意代码/APP Evade Analysis Environment: 沙箱逃逸(根据电量xxx,以及固定值)Input Injection
第三方输入法,偷取用户输入的密码accessibility做一些点击事件 Install Insecure or Malicious ConfigurationModify OS Kernel or Boot PartitionModify System PartitionModify Trusted Execution EnvironmentObfuscated Files or Information
混淆(字符串,变量,方法名),导致script-ptn无法打 Suppress Application Icon
hide icon
Credential Access:拿到机密信息
Access Notifications
其他APP直接从通知栏读验证码 Access Sensitive Data in Device Logs
4.1之后拿不到别人的log了 Access Stored Application Data
获取微信存储数据的文件 Android Intent Hijacking
恶意软件接受输入其他app的intent,就能获取intent中含有的比如oauth的值 Capture Clipboard DataCapture SMS MessagesExploit TEE Vulnerability
厂商搞的可执行环境 Input Capture
伪装成输入法,从而偷取用户的输入 Input Prompt
钓鱼:提示用户输入用户名密码正版APP起来后,新启一个页面覆盖到最上面 Network Traffic Capture or Redirection
Discovery
Application Discovery
判断用户是否安装了杀软 Evade Analysis EnvironmentFile and Directory Discovery
遍历某个dir下的所有文件 Location Tracking
通过IP,基站,GPS定位 Network Service Scanning
通过员工手机,去攻击内网 Process Discovery
通过ps命令,拿到当前运行的所有process System Information Discovery
拿到os版本等 System Network Configuration Discovery
拿到 IMSI,sim卡号,拿到phone number System Network Connections Discovery
手机当前手机上的其他所有APP的网络的链接情况
Lateral Movement: 横向移动,从一个device跳到另一个device
Attack PC via USB Connection
手机作为USB设备接入PC,点击一些快捷方式,PC就中招 Exploit Enterprise Resources
Impact
Clipboard Modification
修改剪贴板的内容APP往剪贴板中插入内容 Data Encrypted for ImpactDelete Device Data: 删除数据Device LockoutGenerate Fraudulent Advertising Revenue: 广告欺诈流量Input Injection
你要卸载一个app,就一直自动点击后退,让你无法卸载 Manipulate App Store Rankings or Ratings :刷版Modify System PartitionPremium SMS Toll Fraud
订阅付费短信
Collection:手机手机上的个人隐私信息
Access Calendar Entries
获取你在日历中的日程记录 Access Call Log
打电话的通话记录 Access Contact List
联系人信息 Access Notifications
其他APP发送的通知,比如验证码 Access Sensitive Data in Device Logs
有些APP会把用户名密码输出到log Access Stored Application Data
其他应用的数据,比如微信的聊天记录文件 Capture Audio
通过手机mic采集你说话的音频 Capture Camera
偷偷的打开相机来拍照 Capture Clipboard Data
剪贴板中的数据,可能有你复制的密码 Capture SMS Messages
短信 Location Tracking
GPS定位 Network Information Discovery
网络服务信息,比如使用哪个运营商的网络 Network Traffic Capture or Redirection
你上网的流量 Screen Capture
偷偷给你截屏后发送到攻击者的服务器
Exfiltration:如何让企业防火墙/流量扫描检测不到
Alternate Network Mediums
用sms通信,来躲避企业内部的流量扫描 Commonly Used Port
使用通用接口通信,来躲避防火墙的检测 Data EncryptedStandard Application Layer Protocol
Command and Control
Alternate Network Mediums
使用wifi而不是企业网络来通信,躲避企业内部的网络检测 Commonly Used PortDomain Generation AlgorithmsStandard Application Layer ProtocolStandard Cryptographic ProtocolUncommonly Used PortWeb Service
3. 参考
[1] MITRE ATT&CK安全知识库介绍[2] Android Matrices
