ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1141

术语表: /attack/glossary

输入提示

当执行的程序需要比当前用户上下文中更多的特权时,操作系统通常会提示用户以获取恰当的凭据,以便给任务授权提升特权。 攻击者可以模拟此功能,以正常外观的提示提示用户凭据。 这种类型的提示可以用 AppleScript 实现: set thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "") 攻击者可以出于许多冒充正常使用的原因提示用户,例如需要额外访问权限的虚假安装程序或虚假恶意软件删除套件。

缓解

用户需要接受培训,以了解哪些程序需要权限,以及为什么需要权限。 遵循 AppleScript 的缓解建议。

检测

此技术利用了用户在出现提示时总是提供凭据的倾向,使得检测非常困难。 监视异常程序的进程执行情况,以及可用于提示用户输入凭据的 AppleScript。