MITRE知识库中Android行为列表

1. 引入

MITRE ATT&CK的介绍来看，它是一个攻击者（adversary）策略（tactic）知识库（knowledge base of adversary tactics and techniques）。该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。

它从整个攻击路径的顺序，对企业级平台和移动平台都做了详细的说明。不同的操作系统都有不同的攻击方式，所以它对Windows，macOS，Linux，Cloud，Android和iOS都有相应的描述。以Android平台为例，系统的攻击技术如下图所示：

这个表中的每一列表示要实现某种攻击，所用的具体技术。列名就是攻击者想做到的攻击的描述，列名下面就是实现这种攻击的具体技术。

本文会按照上图的提纲[2]，对其中各个技术做一个概述性的说明，以方便大家理解。

2. 概述

1. Initial Access：恶意APP如何进入/安装到你的设备

• 把样本上传到app store
  • 正常发布
  • 拿到正常开发者的账号去发布
  • 发布时正常，运行时下载payload
• 其他手段上传
  • 钓鱼链接：email，sms
  • 第三方APP Store
• Drive-by Compromise
  • 水坑攻击：网站被挂马，自动下载
• 充电站
  • 修手机的人给你安装上
• Exploit via Radio Interfaces
  • 基站接口：蓝牙，GPS，SMS
  • 伪wifi：点击认证，安装APK
• Install Insecure or Malicious Configuration
  • banker替换CA，做Man-in-the-middle攻击
  • ios下加了证书后，就可以通过网络安装了，而不是通过app-store安装
• Lockscreen Bypass
  • 解锁后安装app
  • 人脸识别，逃逸
  • 密码简单，暴力破解
  • Lockscreen Vulnerabilities漏洞
• Masquerade as Legitimate Application
  • 把自己伪装为合法应用：banker，引导用户去下载
  • repack，往里面塞入malicious的东西
• Supply Chain Compromise
  • 手机到达用户之前，经过了很多渠道：运输，售卖，xxx
  • 这些渠道可能会操作你的设备
  • 比如买的水货机被刷rom刷入了malware
  • XcodeGhost: Xcode被做了手脚，开发的app都有问题

2. Persistence: 长期待在你的设备里

• Abuse Device Administrator Access to Prevent Removal
  • 用户不容易卸载有device admin权限的app
• App Auto-Start at Device Boot
  • 接收到开机广播后就启动，BOOT_COMPLETED
• Modify Cached Executable Code
  • DEX转化为ODEX这个就是cache
  • 编译过程中，DEX放到某个地方，可能会被替换
• Modify OS Kernel or Boot Partition
  • 修改启动脚本，启动其他APP
• Modify System Partition
  • mount系统分区后，修改app下面的内容
• Modify Trusted Execution Environment

3. Privilege Escalation： 提权

• Exploit OS Vulnerability： 主要是根据漏洞来提高权限，获取root权限后，就可以为所欲为了
• Exploit TEE Vulnerability

4. Defense Evasion：逃脱杀毒软件的检测

• Application Discovery
  • 如果发现你安装杀毒软件，就欺骗用户卸载这些软件，或不起作用
  • 如果你安装了特定的APP，认为你是特定群体的被攻击对象
• Device Lockout
  • 把你的手机锁屏，让你交钱才解锁
• Disguise Root/Jailbreak Indicators
  • 比如攻击者把"su"换了个名字，杀软就不好检测了
• Download New Code at Runtime
  • 软件本身无恶意代码，运行起来才下载恶意代码/APP
• Evade Analysis Environment: 沙箱逃逸（根据电量xxx，以及固定值）
• Input Injection
  • 第三方输入法，偷取用户输入的密码
  • accessibility做一些点击事件
• Install Insecure or Malicious Configuration
• Modify OS Kernel or Boot Partition
• Modify System Partition
• Modify Trusted Execution Environment
• Obfuscated Files or Information
  • 混淆（字符串，变量，方法名），导致script-ptn无法打
• Suppress Application Icon
  • hide icon

5. Credential Access：拿到机密信息

• Access Notifications
  • 其他APP直接从通知栏读验证码
• Access Sensitive Data in Device Logs
  • 4.1之后拿不到别人的log了
• Access Stored Application Data
  • 获取微信存储数据的文件
• Android Intent Hijacking
  • 恶意软件接受输入其他app的intent，就能获取intent中含有的比如oauth的值
• Capture Clipboard Data
• Capture SMS Messages
• Exploit TEE Vulnerability
  • 厂商搞的可执行环境
• Input Capture
  • 伪装成输入法，从而偷取用户的输入
• Input Prompt
  • 钓鱼：提示用户输入用户名密码
  • 正版APP起来后，新启一个页面覆盖到最上面
• Network Traffic Capture or Redirection

6. Discovery

• Application Discovery
  • 判断用户是否安装了杀软
• Evade Analysis Environment
• File and Directory Discovery
  • 遍历某个dir下的所有文件
• Location Tracking
  • 通过IP，基站，GPS定位
• Network Service Scanning
  • 通过员工手机，去攻击内网
• Process Discovery
  • 通过ps命令，拿到当前运行的所有process
• System Information Discovery
  • 拿到os版本等
• System Network Configuration Discovery
  • 拿到 IMSI，sim卡号，拿到phone number
• System Network Connections Discovery
  • 手机当前手机上的其他所有APP的网络的链接情况

7. Lateral Movement： 横向移动，从一个device跳到另一个device

• Attack PC via USB Connection
  • 手机作为USB设备接入PC，点击一些快捷方式，PC就中招
• Exploit Enterprise Resources

8. Impact

• Clipboard Modification
  • 修改剪贴板的内容
  • APP往剪贴板中插入内容
• Data Encrypted for Impact
• Delete Device Data： 删除数据
• Device Lockout
• Generate Fraudulent Advertising Revenue： 广告欺诈流量
• Input Injection
  • 你要卸载一个app，就一直自动点击后退，让你无法卸载
• Manipulate App Store Rankings or Ratings ：刷版
• Modify System Partition
• Premium SMS Toll Fraud
  • 订阅付费短信

9. Collection：手机手机上的个人隐私信息

• Access Calendar Entries
  • 获取你在日历中的日程记录
• Access Call Log
  • 打电话的通话记录
• Access Contact List
  • 联系人信息
• Access Notifications
  • 其他APP发送的通知，比如验证码
• Access Sensitive Data in Device Logs
  • 有些APP会把用户名密码输出到log
• Access Stored Application Data
  • 其他应用的数据，比如微信的聊天记录文件
• Capture Audio
  • 通过手机mic采集你说话的音频
• Capture Camera
  • 偷偷的打开相机来拍照
• Capture Clipboard Data
  • 剪贴板中的数据，可能有你复制的密码
• Capture SMS Messages
  • 短信
• Location Tracking
  • GPS定位
• Network Information Discovery
  • 网络服务信息，比如使用哪个运营商的网络
• Network Traffic Capture or Redirection
  • 你上网的流量
• Screen Capture
  • 偷偷给你截屏后发送到攻击者的服务器

10. Exfiltration：如何让企业防火墙/流量扫描检测不到

• Alternate Network Mediums
  • 用sms通信，来躲避企业内部的流量扫描
• Commonly Used Port
  • 使用通用接口通信，来躲避防火墙的检测
• Data Encrypted
• Standard Application Layer Protocol

11. Command and Control

• Alternate Network Mediums
  • 使用wifi而不是企业网络来通信，躲避企业内部的网络检测
• Commonly Used Port
• Domain Generation Algorithms
• Standard Application Layer Protocol
• Standard Cryptographic Protocol
• Uncommonly Used Port
• Web Service

3. 参考

• [1] MITRE ATT&CK安全知识库介绍
• [2] Android Matrices