ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1400

术语表: /attack/glossary

修改系统分区

如果攻击者能够提权,他或她可能能够使用这些权限将恶意代码放在设备系统分区中,在设备重置之后恶意代码可能会一直存在,并且设备用户可能无法轻易删除这些代码。

出于开发目的,许多 Android 设备都提供了解锁引导加载程序的功能。未锁定的引导加载程序或许可以使攻击者能够修改系统分区。即使引导装载程序被锁定,攻击者也可能提升特权,继而修改系统分区。

缓解

缓解 描述
锁定引导加载程序
安全更新
系统分区完整性

检测

具有经过验证的引导能力的 Android 设备 对系统分区的完整性进行加密检查。

Android SafetyNet API 的远程认证功能可能用于识别和响应受损设备。

Samsung KNOX 还提供了远程认证功能,支持 Samsung Android 设备。

如 iOS 安全指南 所述,如果检测到未经授权的修改,iOS 设备将无法启动或无法激活设备。