 描述
敌人将调试器插入一个移动应用程序的程序入口点来修改应用程序二进制,逃避根/越狱的目标检测。移动设备用户经常根/越狱手机为了获得行政控制移动操作系统和/或安装第三方移动应用程序不提供授权应用程序商店(例如谷歌播放存储和苹果应用程序商店)。加油/移动设备越狱还为用户提供了访问系统调试器和反汇编器,可用于开发应用程序在运行时通过将应用程序的内存,从而消除或绕过签名验证方法。这进一步允许对手逃避根/越狱检测机制,从而导致行政命令,执行获取机密数据,冒充合法用户的应用程序,等等。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
121年 |
利用非生产接口 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
68年 |
破坏代码签名设施 |
| CanPrecede |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
660年 |
通过连接根/越狱检测逃税 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
识别应用程序攻击潜力:敌人搜索并识别一个移动应用程序,该应用程序可以利用恶意目的(如银行、投票或医疗应用程序)。
实验
调试目标应用程序:敌人将调试器插入到程序入口点的移动应用程序,应用程序的签名已被确认后,将其内存的内容。
| 技术 |
| 插入调试器的移动应用程序入口点,后应用程序的签名已被确认。 |
| 转储包含现在解密的内存区域的地址空间二进制代码。 |
删除应用程序签名验证方法:从解密的代码删除签名验证方法和辞职申请自签名证书。
利用
执行应用程序和逃避根/越狱检测方法:自签名证书的应用程序执行,而认为它包含受信任的证书。现在允许对手逃避根/越狱检测通过代码连接或其他方法。
先决条件
技能要求
|
(级别:高) 知识根/越狱检测和逃避技术。 |
|
(级别:中等) 了解运行时调试。 |
所需资源
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
完整性
授权 |
执行未经授权的命令 |
|
|
保密
访问控制
授权 |
获得特权 |
|
|
保密
访问控制 |
读取数据 |
|
缓解措施
例子,实例
| 敌人目标iOS银行应用程序试图妥协敏感的用户数据。敌人发射与iOS应用程序调试器程序入口点,并设置一个断点,在应用程序的签名验证。接下来,对手转储内存区域包含解密的地址空间二进制代码。“限制”的旗帜然后从应用程序和剥夺对手辞职申请自签名证书。执行的应用程序现在已经没有“限制”的旗帜,而信任的自签名证书是合法的。然而,对手现在能够逃避越狱检测通过代码连接或其他方法,可以收集用户凭证和/或交易的细节。 |
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
|
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
