 描述
软件由信誉良好的开发商是秘密感染恶意代码,然后进行数字签名的毫无戒心的开发人员,软件已经通过妥协改变软件开发或建造过程之前签署。接收方或用户的软件没有理由相信它决不是合法和收益将其部署到组织系统。
这种攻击不同于capec - 206,因为开发人员无意中签名恶意代码,他们认为是合法的,他们不知道的任何恶意修改。
攻击的可能性
典型的严重性
先决条件
| 敌人将需要访问一个有针对性的开发人员的软件开发环境,包括他们的软件构建过程,对手可以确保代码恶意污染之前构建流程包含在软件包。 |
技能要求
|
(级别:高) 敌人必须渗透到开发人员的软件开发的技能/构建环境和在发展软件代码植入恶意代码,构建服务器,或软件存储库包含依赖代码,将引用包含在软件构建过程。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
完整性
保密 |
读取数据
修改数据 |
|
|
访问控制
授权 |
获得特权
执行未经授权的命令 |
|
缓解措施
| 有安全操作的IDE (CONOPS)的概念包括:保护IDE使用防火墙和DMZ技术通过逻辑隔离/架构;维护严格的安全管理和配置管理的配置管理工具,发展软件和依赖代码存储库、编译器和系统构建工具。 |
| 使用入侵检测和恶意软件检测功能在IDE系统可行。 |
例子,实例
一位对手已经渗透到组织的构建环境恶意修改代码的目的被包括在一个产品的软件构建通过软件依赖包容、软件构建过程的一部分。软件产品已建成时,开发人员电子成品使用他们的签名密钥迹象。收件人的软件产品,最终用户/客户认为,反映软件开发人员的意图对功能不知道对手的恶意拥有内。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
