通过其他方式发布恶意应用
恶意应用程序是攻击者用来在移动设备上立足的常见攻击向量。该技术描述了在目标移动设备上安装恶意应用程序,而不涉及授权的应用程序商店(例如,Google Play 商店或 Apple App Store)。由于潜在的检测风险或其他原因,攻击者可能希望避免将恶意应用程序放在授权的应用程序商店中。但是,移动设备通常被配置为只允许从授权的应用程序商店安装应用程序(例如 Google Play 商店或 Apple App Store),阻碍了该技术发挥作用。
恶意应用程序的交付方法包括:
- 鱼叉式钓鱼附件-包括作为电子邮件附件的移动应用程序包。
- 鱼叉式钓鱼链接包括在电子邮件、短信(如 SMS、iMessage、Hangouts、WhatsApp 等)、网站、二维码或其他方式中链接到移动应用程序包的链接。
作为前提,攻击者可以使用这种 PRE-ATT&CK 技术:
- 获取 Apple iOS 企业分发密钥对和证书
缓解
| 缓解 | 描述 |
|---|---|
| 企业政策 | 在 iOS 上,allowEnterpriseAppTrust 和 allowEnterpriseAppTrustModification 配置的配置文件限制可用于阻止用户安装使用企业分发密钥签名的应用程序。 |
| 用户指导 | 在允许安装使用企业分发密钥签名的应用程序而不是从 Apple 的 App Store 安装之前,iOS 9 及更高版本需要用户的明确同意。除非十分确定应用程序的来源,否则应鼓励用户拒绝安装使用企业分发密钥签名的应用程序。在 Android 上,必须启用“未知来源”设置,以便用户从授权应用商店(例如 Google Play 商店)以外的来源安装应用,因此应鼓励用户不要启用该设置。 |
检测
- EMM/MDM 或移动威胁防御解决方案可能能够识别从授权应用程序商店以外的来源安装的应用程序。
- EMM / MDM 或移动威胁防御解决方案可能能够识别配置为允许从“未知来源”安装应用的 Android 设备。
- 企业电子邮件安全解决方案可以识别电子邮件中是否存在 Android 或 iOS 应用程序包。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论