ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1398

术语表: /attack/glossary

修改操作系统内核或引导分区

如果攻击者能够提权,他或她可能能够使用这些权限将恶意代码放在设备内核或其他启动分区组件中,其中代码可以绕过检测,在设备重置之后恶意代码可能会一直存在,且设备用户可能无法删除这些代码。在某些情况下(如检测中描述的 Samsung Knox warranty bit),可能会检测到攻击,但可能导致设备处于不再允许某些功能的状态。

出于开发目的,许多 Android 设备都提供了解锁引导加载程序的功能,但是这样做会为其他设备带来恶意更新内核或其他引导分区代码的可能性。

如果引导加载程序未解锁,则仍可能利用设备漏洞更新代码。

缓解

缓解 描述
认证
锁定引导加载程序
安全更新

检测

Android SafetyNet API 的远程认证功能可能用于识别和响应受损设备。三星诺克斯还提供了远程认证功能,支持三星 Android 设备。

Samsung KNOX 设备包括一个不可逆的 Knox warranty bit fuse,如果设备上装有非 Knox 内核, 就会触发该 fuse。如果触发,则设备上将不再提供企业 Knox 容器服务。

如 iOS 安全指南 所述,如果检测到未经授权的修改,iOS 设备将无法启动或无法激活设备。

许多企业应用程序执行自己的检查来检测和响应受攻击的设备。这些检查并非万无一失,但可以发现攻击的常见迹象。