描述
敌人直接安装或诱使用户安装恶意扩展到现有可信软件,目标是实现各种技术都有负面影响。
扩展描述
很多软件应用程序允许用户安装第三方软件扩展/插件,提供额外的特性和功能。对手可以利用这种行为在系统相对轻松地安装恶意软件。这可能需要对手妥协的一个系统,然后安装恶意扩展自己。另一种方法需要伪装恶意扩展作为一个合法的扩展。敌人然后说服用户安装恶意组件,通过社会工程等手段,或者只是等待受害者不知不觉地在他们的系统上安装恶意软件。一旦安装了恶意扩展,对手可以实现各种技术都有负面影响,如获取敏感信息,执行未经授权的命令,观察/修改网络流量,等等。
攻击的可能性
典型的严重性
执行流程
探索
确定目标(s):敌人必须首先确定目标软件,允许扩展/插件和他们希望利用,如web浏览器和桌面应用程序。增加攻击的空间,这往往会是流行的软件有一个很大的用户基础。
实验
创建恶意扩展:确定了一个合适的目标,对手工艺品恶意扩展/插件,由底层目标可以安装软件。这个恶意软件可能针对执行特定操作系统或操作系统无关。
利用
安装恶意扩展:恶意扩展/插件安装由底层软件和执行目标adversary-created恶意软件,导致各种各样的技术都有负面影响。
技术 |
Adversary-Installed:已经破坏目标系统,对手只是安装恶意扩展/插件自己。 |
用户装机:对手的技巧用户安装恶意扩展/插件,通过社会工程等手段,或上传恶意软件的扩展/插件托管站点不知情的受害者,等待安装恶意组件。 |
先决条件
敌人必须工艺恶意软件基于类型的软件和系统(s)他们打算利用。 |
如果对手打算安装恶意扩展自己,他们必须首先妥协目标机通过其他手段。 |
技能要求
(级别:中等) 创建恶意扩展能力,可以利用特定的软件应用程序和系统。 |
(级别:中等) 可选:能够利用目标系统(s)通过其他手段来进入。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 |
影响 |
可能性 |
保密
访问控制 |
读取数据 |
|
完整性
访问控制 |
修改数据 |
|
授权
访问控制 |
执行未经授权的命令
改变执行逻辑
获得特权 |
|
缓解措施
只有从官方安装扩展/插件/可核查的来源。 |
确认扩展/插件是合法的,而不是恶意软件伪装成合法的扩展/插件。 |
确保底层软件利用扩展/插件(包括操作系统)是最新的。 |
实现一个扩展/插件允许列表中,根据给定的安全策略。 |
如果适用,证实扩展/插件官方签署的开发人员。 |
web浏览器,关闭会话完成后防止恶意扩展/插件执行的背景。 |
例子,实例
2018年1月,帕洛阿尔托的单位42个报道,恶意Internet信息服务(IIS)扩展他们叫RGDoor被用来创建一个后门分成几个中东的政府组织,以及金融机构和教育机构。这个恶意软件结合使用TwoFace网站管理权限和允许对手上传/下载文件并执行未经授权的命令。(ref - 740] |
2018年12月,据报道,驻朝APT Kimusky(也称为天鹅绒千里马球队)感染大量合法的学术组织在美国许多专门从事生物医学工程,恶意Google Chrome扩展。被称为“偷铅笔行动”,攻击方式进行鱼叉式网络钓鱼攻击诱骗受害者安装恶意PDF阅读器命名为“汽车字体管理器”。一旦安装完毕,恶意软件允许对手偷饼干和网站的密码,以及转发电子邮件账户被盗。(ref - 741] |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
内容的历史
提交 |
提交日期 |
提交者 |
组织 |
2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
|
|