ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1407

术语表: /attack/glossary

在运行时下载新代码

应用程序可以在安装后下载并执行动态代码(不在原始应用程序包中),以避开用于应用程序审查或应用程序商店审查的静态分析技术(以及可能的动态分析技术)。

在 Android 上,动态代码可以包括本机代码、Dalvik 代码或使用 Android WebView 的 JavascriptInterface 功能的 JavaScript 代码。

在 iOS 上,在应用程序安装后执行下载的动态代码的技术包括 JSPatch。Wang 等人描述了在 iOS 应用运行时构建恶意逻辑的相关方法。

缓解

缓解 描述
应用程序审查 应用程序审查技术可以(静态地或动态地)查找应用程序在运行时下载并执行新代码的指示(例如,在 Android 上使用 DexClassLoader,System.load 或 WebView JavaScriptInterface 功能,或者在 JSP 上使用 JSPatch 或类似功能)。不幸的是,这只能部分缓解,仍然需要对使用这些技术的应用程序进行额外的审查,因为这些技术在没有恶意目的下使用是很常见的,并且应用程序可能会采用其他技术来隐藏它们的使用技术。