ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1476

术语表: /attack/glossary

通过其他方式发布恶意应用

恶意应用程序是攻击者用来在移动设备上立足的常见攻击向量。该技术描述了在目标移动设备上安装恶意应用程序,而不涉及授权的应用程序商店(例如,Google Play 商店或 Apple App Store)。由于潜在的检测风险或其他原因,攻击者可能希望避免将恶意应用程序放在授权的应用程序商店中。但是,移动设备通常被配置为只允许从授权的应用程序商店安装应用程序(例如 Google Play 商店或 Apple App Store),阻碍了该技术发挥作用。

恶意应用程序的交付方法包括:

  • 鱼叉式钓鱼附件-包括作为电子邮件附件的移动应用程序包。
  • 鱼叉式钓鱼链接包括在电子邮件、短信(如 SMS、iMessage、Hangouts、WhatsApp 等)、网站、二维码或其他方式中链接到移动应用程序包的链接。

作为前提,攻击者可以使用这种 PRE-ATT&CK 技术:

  • 获取 Apple iOS 企业分发密钥对和证书

缓解

缓解 描述
企业政策 在 iOS 上,allowEnterpriseAppTrust 和 allowEnterpriseAppTrustModification 配置的配置文件限制可用于阻止用户安装使用企业分发密钥签名的应用程序。
用户指导 在允许安装使用企业分发密钥签名的应用程序而不是从 Apple 的 App Store 安装之前,iOS 9 及更高版本需要用户的明确同意。除非十分确定应用程序的来源,否则应鼓励用户拒绝安装使用企业分发密钥签名的应用程序。在 Android 上,必须启用“未知来源”设置,以便用户从授权应用商店(例如 Google Play 商店)以外的来源安装应用,因此应鼓励用户不要启用该设置。

检测

  • EMM/MDM 或移动威胁防御解决方案可能能够识别从授权应用程序商店以外的来源安装的应用程序。
  • EMM / MDM 或移动威胁防御解决方案可能能够识别配置为允许从“未知来源”安装应用的 Android 设备。
  • 企业电子邮件安全解决方案可以识别电子邮件中是否存在 Android 或 iOS 应用程序包。