ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1410

术语表: /attack/glossary

网络流量捕获或重定向

攻击者可以捕获进出设备的网络流量以获取凭据或其他敏感数据,或者重定向网络流量,使其通过攻击者控制的网关来完成同样的操作。

恶意应用程序可以在 Android 或 iOS 上注册为 VPN 客户端来访问网络数据包。然而,在这两种平台上,用户必须授权应用程序作为 VPN 客户端,在 iOS 上程序还需要 Apple 授予的特殊权限。

或者,如果恶意应用程序能够升级操作系统特权,那么它或许可以使用这些特权来访问网络流量。

攻击者可以通过建立 VPN 连接或修改设备的代理设置,将网络流量重定向到攻击者控制的网关。例如,Skycure 描述了通过安装恶意 iOS 配置文件重定向网络流量的情况。

如果应用程序对其网络流量进行加密,攻击者可能无法访问敏感数据,具体取决于捕获点。

检测

在 Android 和 iOS 上,用户必须授权应用充当 VPN。 当 VPN 连接完成时,两个平台还在顶部状态栏中为用户提供可视上下文。

缓解

缓解 描述
应用程序审查 在允许使用之前,请仔细检查请求 VPN 访问的应用程序。
加密网络流量 此缓解可能并不总是有效,取决于加密网络流量的方法。在某些情况下,攻击者可能会在加密之前捕获流量。
安全更新
使用最近的 OS 版本