 描述
对手植入恶意代码的开源软件(OSS)图书馆广泛分布,为OSS通常由开发人员和其他用户下载整合到软件开发项目。敌人会有一个特定的系统目标,或植入可以后续攻击许多系统的第一阶段。
攻击的可能性
典型的严重性
执行流程
探索
确定相关的开源代码项目目标:敌人将根据不同的标准进行选择:
-
当前使用的开源的代码在一个选定的目标系统。
-
依赖图的深度的开源代码与其他代码库的关系在目标系统上使用。图中选择一个OSS降低减少发现的概率,而且还减少了其在目标系统中使用的范围。
-
的编程语言的开放源代码实现。不同的语言呈现不同的使用已知的软件缺陷的机会。
-
过程的质量做出贡献。例如,一些贡献网站使用静态和动态分析工具,这可能会增加发现的概率。
-
必要的安全需求作出贡献。例如,所有权松懈允许无符号提交或匿名用户。
实验
制定计划为恶意的贡献:对手发展计划贡献恶意代码,考虑到以下:
-
敌人可能会避免填充软件弱点,特别是那些静态和动态分析工具可能会发现。
-
常见的编码错误或丢失边界情况的算法,它可以解释是意外,如果发现,将对手的首选。
-
有时不需要身份做出贡献。其他选项是偷现有身份或创建一个。当创建一个新的身份,平衡过多或过少的细节。使用一个偷来的身份可能导致通知发送给实际用户。
利用
执行计划,恶意的贡献:写代码贡献的基础上计划,然后提交贡献。多个提交,可能使用多个身份,将帮助掩盖了攻击。监控网站的贡献来确定代码已经上传到目标系统。
先决条件
| 访问开放源代码库使用的制造商目前系统正在开发或部署在一个受害者的位置。 |
技能要求
|
(级别:高) 先进的知识关于包容和特定的使用系统内的一个开放源代码项目针对渗透。 |
例子,实例
| 敌人提供一个开放源代码项目引入了很难找错误的软件,允许在特定条件下加密数据流被禁用。敌人提交更改的代码被制造商发展VPN软件。最终部署在受害者的位置非常特殊的条件得到满足给对手的能力探查明文通信被认为是加密的。这可以提供对手对敏感数据的访问的受害者。 |
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2015-11-09
(版本2.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns Typical_Likelihood_of_Exploit |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述、Execution_Flow Related_Attack_Patterns |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| @ name更新,描述、Example_Instances Execution_Flow Related_Attack_Patterns |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow Taxonomy_Mappings |
| 2023-01-24
(版本3.9) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2021-06-24
(版本3.5) |
开源库的改变 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
