CAPEC - CAPEC - 446:恶意逻辑插入产品通过包含第三方组件(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 446:恶意逻辑插入产品通过包含第三方组件(版本3.9)

capec - 446:恶意逻辑插入产品通过加入第三方组件

攻击模式ID: 446

抽象:详细的

视图定制的信息:

描述

供应链的敌人进行攻击的不安全的第三方组件技术,产品,或很快上手,可能包装恶意驱动程序或组件以及产品在航运之前消费者或者收购者。

扩展描述

结果是一个利用产品的机会之窗,直到发现不安全组件。这一供应链威胁会导致恶意软件或硬件的安装,介绍了在一个组织中普遍存在的安全漏洞。此外,由于软件通常取决于大量的相互依赖的库和组件出现安全漏洞可以仅仅通过安装介绍商业从架子上(COTS)或开源软件(OSS)软件,预包装的操作和所需的组件。同样值得注意的是,这种攻击可以发生在初始产品开发或整个产品的维护。

攻击的可能性

媒介

典型的严重性

高

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	444年	开发变更

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件,硬件,供应链
机制的攻击	操作系统资源
供应链风险	开发和生产,维护

先决条件

访问产品在最初或持续发展。这种访问通常是获得通过内部访问包含在部署后的第三方组件。

后果

这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
授权	执行未经授权的命令

缓解措施

评估软件和硬件在开发和部署之前,确保它的功能目的和没有任何恶意的功能。这包括初始开发以及部署后更新传播到该产品。

不要认为流行的第三方组件是免费的从恶意软件或漏洞。恶意功能的软件,评估通过更新/提交评论或自动静态/动态分析之前,包括组件在应用程序和部署在生产环境中。

例子,实例

从2014年中期到2015年年初,联想电脑是随Superfish视觉搜索软件系统上,最终是广告软件。根HTTPS视觉搜索安装包括一个自签名证书,能够截获加密为任何用户访问站点的流量。更关心的是这一事实相对应的证书的私钥在每一个联想的机器都是一样的。一旦发现了私钥(ref - 709],敌人就可以进行Adversary-in-the-Middle (AitM)的攻击,将未被发现的机器上安装此证书。对手可以伪装成合法的实体(如金融机构,受欢迎的企业,在互联网上或其他安全的目的地。(ref - 708]

在2018年,它被发现,中国间谍渗透几个美国政府机构和公司早在2015年,包括恶意的主板芯片服务器基本技术卖给受害者。尽管这些服务器是通过一个以美国为基地的公司组装,主板内使用的服务器是通过中国分包商制造和恶意修改。基本技术然后这些恶意服务器卖给不同的美国政府机构,如美国国防部和中情局,和公司如亚马逊和苹果。恶意微芯片的敌人提供了一个后门进入系统,这进一步允许他们访问任何网络包含了利用系统,漏出的数据发送给中国政府。ref - 713]

相关ATT&CK分类法映射

条目ID	条目名称
1195年	供应链妥协

引用

(ref - 379) Jon Boyens安吉拉•史密斯Nadya Bartol,克丽丝温克勒,亚历克斯·霍尔布鲁克和马修·法伦。“网络安全系统供应链风险管理实践和组织(草案二)”。国家标准与技术研究院(NIST)。2021-10-28。<https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800 - 161 - r1 - draft2.pdf>。URL验证:2022-02-16。

(ref - 707)托马斯·布鲁斯特。“联想Superfish“恶意软件”的工作方式,以及它如何杀死”。《福布斯》。2015-02-19。<https://www.forbes.com/sites/thomasbrewster/2015/02/19/superfish-need-to-know/?sh=991ab8c38776>。URL验证:2022-02-16。

(ref - 708)丹Goodin。“联想电脑附带中间人广告软件了HTTPS连接”。Ars Technica。2015-02-19。<https://arstechnica.com/information-technology/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware-that-breaks-https-connections/>。URL验证:2022-02-16。

罗伯·格雷厄姆(ref - 709)。“提取SuperFish证书”。勘误表安全。2015-02-19。<https://blog.erratasec.com/2015/02/extracting-superfish-certificate.html .VOX5Ky57RqE>。URL验证:2022-02-16。

(ref - 713)约旦罗伯逊和迈克尔·莱利。“大黑客:中国如何用微型芯片渗入美国公司”。彭博社,2018-10-04。<https://www.bloomberg.com/万博下载包news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies>。URL验证:2022-02-17。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2018-07-31 (版本2.12)	CAPEC内容团队	manbetx客户端首页
2018-07-31 (版本2.12)	更新Attack_Motivation-Consequences Attack_Prerequisites,描述总结,Solutions_and_Mitigations Typical_Likelihood_of_Exploit Typical_Severity
2019-09-30 (版本3.2)	CAPEC内容团队	manbetx客户端首页
2019-09-30 (版本3.2)	更新Related_Attack_Patterns
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Related_Attack_Patterns
2022-02-22 (版本3.7)	CAPEC内容团队	manbetx客户端首页
2022-02-22 (版本3.7)	更新Example_Instances,引用
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	更新@ name、描述Example_Instances Extended_Description,移植,先决条件,引用,Related_Attack_Patterns Taxonomy_Mappings
以前的条目名称
改变日期	以前的条目名称
2022-09-29 (版本3.8)	恶意软件通过逻辑插入产品包含第三方组件的依赖

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2022年9月29日,


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

capec - 446:恶意逻辑插入产品通过加入第三方组件