 描述
敌人,通过之前安装的恶意应用程序,模仿一个凭证提示为了窃取用户的凭证。
扩展描述
对手可能监控任务列表由操作系统维护,等待一个特定的合法凭证提示变得活跃。一旦发现提示,敌人发射一个新的凭证提示在前台,模仿合法凭据的用户界面提示。在这一点上,用户认为与之交互的合法凭证提示,而是与之交互的恶意凭证提示。
第二种方法涉及到对手冒充一个意想不到的凭证提示,但常常会被合法的后台进程了。例如,敌人可能随机模拟系统凭证提示,暗示一个后台进程或常用的应用程序(如电子邮件阅读器)需要身份验证的目的。用户,相信与之交互的一个合法凭证提示,进入他们的凭证,然后对手利用用于邪恶的目的。这种攻击的最终目标是获取敏感信息(如凭证)的用户。
攻击的可能性
典型的严重性
执行流程
探索
确定合适的任务利用:确定哪些任务存在于目标系统,可能会导致用户提供他们的凭证。
利用
模拟的任务:扮演一个合法的任务,预期或意想不到的,为了获得用户凭证。
| 技术 |
| 提示用户的凭证,而让用户相信证书请求是合法的。 |
先决条件
| 敌人必须已经访问目标系统通过一些手段。 |
| 一个合法的任务必须存在,敌人可以冒充收集凭证。 |
技能要求
|
(等级:低) 一旦敌人获得目标系统,冒充凭证提示并不困难。 |
所需资源
| 恶意软件或其他手段最初由目标系统。 |
| 额外的恶意软件模拟一个合法的凭证提示。 |
指标
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 唯一已知的缓解这种攻击是为了避免安装恶意应用程序在设备上。然而,模拟运行的任务恶意应用程序需要GET_TASKS许可能够查询任务列表,并被可疑的应用程序使用该权限可以帮助。 |
例子,实例
| 敌人监视系统任务列表Microsoft Outlook,试图确定当应用程序可能会提示用户输入他们的凭据查看加密的电子邮件。一旦执行任务,对手模仿凭证及时获取用户的Microsoft Outlook加密证书。这些凭证可以利用对手阅读用户的加密的电子邮件。 |
| 敌人随机提示用户输入他们的系统的凭证,欺骗用户,以为一个后台进程需要凭证的功能。敌人可以使用这些收集凭证执行额外的攻击或获取数据。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
