MITRE ATT&CK Mobile - все виды тактик и техник хакерских атак на мобильные устройства и защита от них

Что такое MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это база знаний, разработанная корпорацией MITRE, которая описывает тактики и техники, используемые злоумышленниками в кибератаках. Эта база знаний структурирована в виде матрицы, которая помогает организациям понять, как злоумышленники могут атаковать их системы, и разработать стратегии защиты.

MITRE ATT&CK используется различными организациями по всему миру, включая правительственные учреждения, коммерческие компании и исследовательские организации. Она служит основой для разработки систем обнаружения угроз, проведения тестов на проникновение и обучения сотрудников.

Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить.

Ну или на канал в VK, если хотите видеть новые статьи у себя в ленте.

Раздел Mobile

Раздел Mobile в MITRE ATT&CK фокусируется на тактиках и техниках, используемых для атак на мобильные устройства, такие как смартфоны и планшеты. В современном мире мобильные устройства стали неотъемлемой частью повседневной жизни, и злоумышленники активно используют их уязвимости для проведения атак. Раздел Mobile помогает организациям понять, как защитить свои мобильные устройства и данные от различных угроз.

Методы защиты

Методы защиты одинаковые для любых атак - приведу их сразу:

1. Мониторинг и журналирование: Включение мониторинга и журналирования выполнения команд и скриптов помогает обнаруживать подозрительную активность.

2. Обучение пользователей: Обучение пользователей распознаванию подозрительных приложений и документов помогает снизить риск исполнения вредоносного кода.

3. Использование антивирусного ПО: Установка и регулярное обновление антивирусного программного обеспечения помогает обнаруживать и блокировать вредоносные команды и скрипты.

4. Ограничение прав доступа: Ограничение прав доступа к системным API и функциям помогает предотвратить выполнение вредоносного кода.

🛡️ Первая тактика в разделе Mobile MITRE ATT&CK: Initial Access (Начальный доступ)

📘 Описание:

Тактика Initial Access (Начальный доступ) в разделе Mobile MITRE ATT&CK описывает методы, которые злоумышленники используют для получения первоначального доступа к мобильным устройствам. Это первый шаг в цепочке атаки, и успешное выполнение этой тактики позволяет злоумышленникам установить контроль над устройством и перейти к выполнению других вредоносных действий.

Основные техники и инструменты

1. Drive-by Compromise (Компрометация через веб-сайт):

📌 Описание: Злоумышленники используют уязвимости в веб-браузерах или их плагинах для выполнения вредоносного кода на устройстве при посещении пользователем зараженного веб-сайта.
🛠 Инструменты: Эксплойты для веб-браузеров и их плагинов, такие как Metasploit, Browser Exploitation Framework (BeEF).

2. Exploit Public-Facing Application (Эксплуатация уязвимостей публичных приложений):

📌 Описание: Злоумышленники используют уязвимости в приложениях, доступных через интернет, для выполнения вредоносного кода на устройстве.
🛠 Инструменты: Эксплойты для уязвимых приложений, такие как Metasploit, custom scripts.

3. Phishing (Фишинг):

📌 Описание: Злоумышленники отправляют пользователям вредоносные ссылки или вложения через электронную почту, SMS или мессенджеры, чтобы обманом заставить их выполнить вредоносный код.
🛠 Инструменты: Фишинговые комплекты (phishing kits), такие как Gophish, King Phisher, а также инструменты для создания и отправки фишинговых сообщений.

4. Malicious Application (Вредоносное приложение):

📌 Описание: Злоумышленники создают и распространяют вредоносные приложения через официальные или неофициальные магазины приложений, которые пользователи устанавливают на свои устройства.
🛠 Инструменты: Инструменты для создания вредоносных приложений, такие как APKTool, Metasploit, DroidJack.

🛡️ Вторая тактика в разделе Mobile MITRE ATT&CK: Execution (Исполнение)

📘 Описание:

Тактика Execution (Исполнение) в разделе Mobile MITRE ATT&CK описывает методы, которые злоумышленники используют для выполнения вредоносного кода на скомпрометированном мобильном устройстве. Эта тактика следует за начальным доступом и позволяет злоумышленникам выполнять команды и программы, которые могут привести к дальнейшему компрометированию устройства и данных.

Основные техники и инструменты

1. Command and Scripting Interpreter (Интерпретатор команд и скриптов):

📌 Описание: Злоумышленники используют интерпретаторы команд и скриптов, такие как командная строка, PowerShell или Python, для выполнения вредоносных команд и скриптов на устройстве.
🛠 Инструменты: Termux, QPython, SL4A (Scripting Layer for Android).

2. Native API (Нативный API):

📌 Описание: Злоумышленники используют нативные API операционной системы для выполнения вредоносного кода.
🛠 Инструменты: Android NDK (Native Development Kit), iOS SDK (Software Development Kit).

3. Scheduled Task/Job (Запланированная задача/работа):

📌 Описание: Злоумышленники создают запланированные задачи или работы, которые выполняются автоматически в определенное время или при определенных условиях.
🛠 Инструменты: Android AlarmManager, iOS Background Fetch.

4. User Execution (Исполнение пользователем):

📌 Описание: Злоумышленники обманом заставляют пользователя выполнить вредоносный код, например, открыв вредоносное приложение или документ.
🛠 Инструменты: Вредоносные приложения, фишинговые документы.

🛡️ Третья тактика в разделе Mobile MITRE ATT&CK: Persistence (Устойчивое закрепление)

📘 Описание:

Тактика Persistence (Устойчивое закрепление) в разделе Mobile MITRE ATT&CK описывает методы, которые злоумышленники используют для поддержания своего присутствия на скомпрометированном мобильном устройстве. Эти методы позволяют злоумышленникам сохранять доступ к устройству даже после перезагрузки или других попыток очистки системы.

Основные техники

1. Boot or Logon Initialization Scripts (Сценарии инициализации при загрузке или входе в систему):

📌 Описание: Злоумышленники настраивают вредоносные сценарии на автоматический запуск при загрузке устройства или входе пользователя в систему.
🛠 Инструменты: Android Broadcast Receivers, iOS Launch Daemons.

2. Compromise Application Executable (Компрометация исполняемого файла приложения):

📌 Описание: Злоумышленники изменяют исполняемые файлы легитимных приложений для выполнения вредоносного кода.
🛠 Инструменты: Инъекция кода, модификация бинарных файлов.

3. Compromise Client Software Binary (Компрометация бинарного файла клиентского ПО):

📌 Описание: Злоумышленники изменяют бинарные файлы клиентского программного обеспечения для выполнения вредоносного кода.
🛠 Инструменты: Инъекция кода, модификация бинарных файлов.

4. Event Triggered Execution (Исполнение, вызванное событием):

📌 Описание: Злоумышленники настраивают выполнение вредоносного кода при наступлении определенных событий.
🛠 Инструменты: Android Broadcast Receivers, iOS Event Listeners.

5. Foreground Persistence (Устойчивость на переднем плане):

📌 Описание: Злоумышленники настраивают вредоносные приложения на постоянное выполнение на переднем плане.
🛠 Инструменты: Android Foreground Services, iOS Background Modes.

6. Hijack Execution Flow (Перехват потока выполнения):

📌 Описание: Злоумышленники изменяют поток выполнения легитимных приложений или процессов для выполнения вредоносного кода.
🛠 Инструменты: Инъекция кода, модификация бинарных файлов.

7. Scheduled Task/Job (Запланированная задача/работа):

📌 Описание: Злоумышленники создают запланированные задачи или работы, которые выполняются автоматически в определенное время или при определенных условиях.
🛠 Инструменты: Android AlarmManager, iOS Background Fetch.

🛡️4-я Тактика: Privilege Escalation (Эскалация привилегий)

📘 Описание:

❗ Эта тактика описывает методы, с помощью которых злоумышленники получают более высокие привилегии (например, root-доступ на Android или привилегии администратора на iOS), позволяющие им выполнять системные операции и усиливать контроль над устройством.

1. Техника: Abuse Elevation Control Mechanism

(Злоупотребление механизмом контроля повышения прав)

📌 Описание:
Злоумышленники могут использовать встроенные системные функции, которые предоставляют временные или скрытые привилегии. Это может быть API, административные службы или отладочные интерфейсы.

🛠 Инструменты:

• ADB (Android Debug Bridge)
• Activity Manager (am)
• iOS TCC.db (база контроля доступа)

🧪 Примеры:

• Использование ADB в режиме отладки для запуска системных команд или установки приложений с расширенными разрешениями.
• Изменение TCC.db на jailbroken-устройстве iOS для предоставления приложению доступа к микрофону или камере без запроса у пользователя.

2. Техника: Exploitation for Privilege Escalation

(Эксплуатация уязвимостей для повышения привилегий)

📌 Описание:
Злоумышленники используют уязвимости в операционной системе или драйверах для получения прав суперпользователя (root/jailbreak). Это даёт им полный доступ к файловой системе и системным функциям.

🛠 Инструменты:

• Framaroot, KingRoot — Android
• DirtyCow (CVE-2016-5195)
• Checkra1n, unc0ver — iOS jailbreak
• Towelroot

🧪 Примеры:

• Использование Checkra1n для jailbreak iOS-устройства, позволяющего устанавливать неподписанные приложения и изменять системные файлы.
• Применение DirtyCow на Android для записи в защищённые разделы памяти и создания рута.

3. Техника: Process Injection

(Инъекция в процесс)

📌 Описание:
Злоумышленники внедряют вредоносный код в адресное пространство другого процесса. Это позволяет им исполнять код с привилегиями целевого процесса, часто системного уровня.

🛠 Инструменты:

• ptrace (на Android/Linux)
• Xposed Framework и модули
• Frida (инструмент для динамического анализа и инъекций)

🧪 Примеры:

• Использование Frida для внедрения JavaScript-кода в работающий системный процесс для обхода проверки лицензии.
• Инъекция в системные службы Android с помощью Xposed для перехвата и изменения поведения приложений.

🛡 Методы защиты от эскалации привилегий:

• Регулярные обновления ОС и патчей безопасности.
• Отключение режима разработчика и ADB на Android.
• Использование MDM (Mobile Device Management) для обнаружения jailbreak/root.
• Мониторинг системных процессов и отклонений от нормального поведения.

🛡️ Тактика 5: Defense Evasion (Уклонение от обнаружения и защиты)

📘 Описание:
Тактика Defense Evasion (Уклонение от защиты) описывает методы, с помощью которых злоумышленники пытаются избежать обнаружения и анализа со стороны антивирусов, MDM-систем, систем защиты, sandboxes и других средств безопасности. Цель этой тактики — продлить своё скрытое присутствие на устройстве и предотвратить удаление вредоносного кода или остановку вредоносной активности.

1. Application Versioning

• ID: T1408

📌 Описание:
Установка или замена приложения другой версией с тем же идентификатором пакета и номером версии, чтобы обойти проверки обновлений или анализа.

🛠 Инструменты:

• ApkTool
• Re-signing tools
• Custom APK builders

🧪 Пример:

• Злоумышленник заменяет приложение банковского клиента на вредоносную копию с тем же package name и версией, чтобы пользователь и MDM не заметили изменений.

2. Download New Code at Runtime

• ID: T1407

📌 Описание:
Загрузка и выполнение вредоносного кода после установки приложения, что позволяет обойти статический анализ и сигнатурные антивирусы.

🛠 Инструменты:

• DexClassLoader (Android)
• WebView и JS-инжекция
• Dynamic module loading

🧪 Пример:

• Приложение загружает вредоносный DEX-файл с C2-сервера и выполняет его в рантайме.

3. Execution Guardrails

• ID: T1627

📌 Описание:
Ограничение выполнения вредоносного кода определёнными условиями: геолокацией, временем, моделью устройства и т.п., чтобы избежать анализа в песочнице.

🛠 Инструменты:

• Build.MODEL
• GeoIP APIs
• System clock/timezone checks

🧪 Пример:

• Вредоносный код активируется только на устройствах определённого бренда или в часовой зоне страны-жертвы.

4. Foreground Persistence

• ID: T1542.001 (связана с Persistence)

📌 Описание:
Приложения остаются активными в фоновом режиме за счёт постоянной активности в переднем плане, что помогает избежать остановки системой или антивирусом.

🛠 Инструменты:

• Foreground Services (Android)
• Background Modes (iOS)

🧪 Пример:

• Приложение запускает уведомление и остаётся в «переднем плане», чтобы Android не выгрузил его из памяти.

5. Hide Artifacts

• ID: T1406

📌 Описание:
Сокрытие компонентов вредоносной активности: файлов, процессов, пакетов, журналов и т.д.

🛠 Инструменты:

• Xposed, Frida
• Rootkits
• Custom code obfuscation

🧪 Пример:

• Вредоносное приложение скрыто из списка установленных через Xposed-модуль.

6. Hooking

• ID: T1410

📌 Описание:
Перехват (hook) системных вызовов или API для изменения поведения приложений, сокрытия активности или сбора данных.

🛠 Инструменты:

• Frida
• Xposed
• Cydia Substrate (iOS)

🧪 Пример:

• Перехват getDeviceId() через Xposed для подмены ID устройства.

7. Impair Defenses

• ID: T1409

📌 Описание:
Отключение или вмешательство в работу защитных механизмов: антивирусов, MTD, SELinux, MDM и др.

🛠 Инструменты:

• setenforce 0
• Frida-скрипты
• Jailbreak tweaks

🧪 Пример:

• Вредоносный код отключает SELinux или завершает процессы MTD-решения.

8. Indicator Removal on Host

• ID: T1551

📌 Описание:
Удаление или модификация данных, которые могут быть использованы для обнаружения атаки, например логов, уведомлений, временных файлов.

🛠 Инструменты:

• logcat
• rm
• SQLite DB access

🧪 Пример:

• Удаление SMS-фишинга из базы данных сообщений после его прочтения.

9. Input Injection

• ID: T1411

📌 Описание:
Злоумышленник инициирует действия от имени пользователя, симулируя ввод с помощью системных API. Это позволяет обойти проверки доступа, диалоги подтверждения и ограничения UI.

🛠 Инструменты:

• input (ADB)
• AccessibilityService API (Android)
• MonkeyRunner

🧪 Пример:

• Вредоносное приложение использует AccessibilityService для автоматического нажатия кнопки «Разрешить» при запросе доступа к камере или файлам.

10. Masquerading

• ID: T1412

📌 Описание:
Скрытие вредоносной активности под видом легитимного поведения, включая подделку имени приложения, иконки, подписи или поведения.

🛠 Инструменты:

• ApkTool
• Переименование пакета
• Изменение AndroidManifest.xml

🧪 Пример:

• Вредоносное приложение выдаёт себя за Facebook, копируя его иконку и название, чтобы ввести пользователя и систему в заблуждение.

11. Native API

• ID: T1413

📌 Описание:
Использование нативных системных API (через C/C++ или Objective-C), которые не видны для стандартных защитных решений, чтобы обойти ограничения и анализ.

🛠 Инструменты:

• Android NDK (JNI)
• Objective-C runtime
• POSIX API (open, fork, etc.)

🧪 Пример:

• Приложение использует C++-библиотеку через JNI для доступа к системным файлам, минуя Java-проверки разрешений.

12. Obfuscated Files or Information

• ID: T1027

📌 Описание:
Шифрование, обфускация или упаковка вредоносного кода/данных для затруднения анализа, реверс-инжиниринга и обнаружения.

🛠 Инструменты:

• ProGuard, DexGuard
• XOR, Base64, AES
• Custom packers

🧪 Пример:

• Конфигурационные строки (например, адреса C2-серверов) зашифрованы с помощью XOR и дешифруются в рантайме.

13. Process Injection

• ID: T1628

📌 Описание:
Внедрение вредоносного кода в другой процесс (часто легитимный), чтобы скрыть активность и использовать привилегии целевого процесса.

🛠 Инструменты:

• ptrace
• Frida
• Xposed

🧪 Пример:

• Вредоносный код внедряется в system_server через ptrace, чтобы получить доступ к системным API.

14. Proxy Through Victim

• ID: T1563

📌 Описание:
Использование скомпрометированного устройства как прокси-сервера для маскировки источника атак или обхода сетевых фильтров.

🛠 Инструменты:

• Custom C2-модули
• TCP туннелирование
• VPN-клиенты

🧪 Пример:

• Вредоносное ПО на телефоне пользователя пересылает команды от злоумышленника к другим целям внутри сети.

15. Subvert Trust Controls

• ID: T1402

📌 Описание:
Злоупотребление или обход механизмов доверия ОС, таких как подписи приложений, политики безопасности, разрешения или сертификаты.

🛠 Инструменты:

• Модифицированные сертификаты
• Jailbreak tweaks
• Custom signing tools

🧪 Пример:

• Подмена системного корневого сертификата, чтобы перехватывать HTTPS-трафик без уведомления пользователя.

16. Virtualization/Sandbox Evasion

• ID: T1404

📌 Описание:
Определение, что устройство работает в песочнице, виртуализированной среде или эмуляторе, с целью отключения вредоносной активности или прекращения выполнения.

🛠 Инструменты:

• Проверка build.prop, IMEI, MAC-адресов
• Проверка наличия QEMU, Genymotion
• Файлы/папки, характерные для sandboxes

🧪 Пример:

• Приложение завершает работу, если обнаруживает build.prop с ro.kernel.qemu=1 (признак эмуляции).

🔐 Тактика 6: Credential Access (Доступ к учетным данным)

📘 Описание:
Тактика Credential Access охватывает методы, с помощью которых злоумышленники пытаются получить учетные данные пользователя или приложения — такие как логины, пароли, токены доступа, PIN-коды и другие формы аутентификационной информации. Получение этих данных позволяет атакующим углубить своё присутствие, получить доступ к другим сервисам и обойти механизмы защиты.

1. Access Notifications

• ID: T1417

📌 Описание:
Получение доступа к содержимому уведомлений на устройстве, включая сообщения из мессенджеров, коды подтверждения, пароли и другую чувствительную информацию.

🛠 Инструменты:

• NotificationListenerService (Android)
• AccessibilityService
• Jailbreak-твики (iOS)

🧪 Пример:

• Вредоносное Android-приложение с разрешением на чтение уведомлений перехватывает коды 2FA из SMS или мессенджеров, отображающихся в шторке уведомлений.

2. Clipboard Data

• ID: T1416

📌 Описание:
Чтение содержимого буфера обмена, в котором могут временно храниться пароли, токены, ссылки для входа, данные банковских карт и т.д.

🛠 Инструменты:

• ClipboardManager (Android)
• UIPasteboard (iOS)
• AccessibilityService

🧪 Пример:

• Вредоносное приложение отслеживает буфер обмена и отправляет его содержимое на C2-сервер при каждом изменении, включая скопированные пароли.

3. Credentials from Password Store

• ID: T1634

📌 Описание:
Похищение учетных данных, хранящихся в системных хранилищах паролей или менеджерах паролей (например, Keystore, Keychain).

🛠 Инструменты:

• Frida (перехват вызовов API)
• Jailbreak/root-доступ
• Xposed modules

🧪 Пример:

• На скомпрометированном Android-устройстве злоумышленник с root-доступом извлекает зашифрованные данные из Android Keystore и пытается их расшифровать.

4. Input Capture

• ID: T1411

📌 Описание:
Перехват пользовательского ввода — нажатий клавиш, прикосновений к экрану или голосовых команд. Злоумышленники используют это для кражи логинов, паролей, PIN-кодов и другой конфиденциальной информации, вводимой пользователем вручную.

🛠 Инструменты:

• AccessibilityService (Android)
• Touch injection / overlay
• Keylogger (через root/jailbreak)
• Substrate / Frida / Xposed для перехвата методов ввода

🧪 Примеры:

• Вредоносное приложение использует AccessibilityService для отслеживания ввода в поле пароля.
• Использование прозрачного наложения (overlay) поверх окна входа, чтобы обманом получить введённые данные.

📌 Примечание: Эта техника тесно связана с техникой Defense Evasion → Input Injection, но направлена не на эмуляцию, а на кражу ввода.

5. Steal Application Access Token

• ID: T1649

📌 Описание:
Похищение токенов доступа (например, OAuth, JWT), используемых приложениями для аутентификации без запроса логина и пароля. Получив токен, злоумышленник может получить доступ к учётной записи жертвы без необходимости ввода пароля.

🛠 Инструменты:

• Frida/Xposed (перехват токенов из памяти)
• Jailbreak/root-доступ
• MITM-прокси (при подмене сертификатов)
• Logcat (если токен случайно логируется)

🧪 Примеры:

• Перехват токена авторизации из памяти Facebook-приложения с помощью Frida.
• Установка поддельного корневого сертификата на Android для перехвата HTTPS-запросов и извлечения токена из заголовков.

🛡 Методы защиты от кражи учётных данных:

• Использование биометрии и многофакторной аутентификации.
• Защита буфера обмена (Clipboard security).
• Ограничение разрешений (например, на доступ к уведомлениям и буферу обмена).
• Обфускация и защита токенов в памяти (например, с использованием аппаратного хранилища).
• Мониторинг подозрительных API-вызовов и поведения приложений (MTD/EDR).

🧭 Тактика 7: Discovery (Разведка окружения)

📘 Описание (по MITRE):
Adversary is trying to figure out your environment.
Злоумышленник пытается понять, в какой среде он оказался.

Тактика Discovery в MITRE ATT&CK for Mobile включает техники, которые позволяют злоумышленнику получить информацию о мобильном устройстве и, потенциально, подключённых к нему системах. Это может включать характеристики устройства, сетевые параметры, установленные приложения, активные службы и т. д. Такая разведка часто проводится после первоначального доступа, чтобы оценить возможности дальнейшего продвижения атаки или сбора данных.

🧩 Включает 8 техник (по состоянию на 2024 год).

1. File and Directory Discovery

• ID: T1424

📌 Описание:
Поиск файлов и каталогов на устройстве с целью выявления интересной информации: документов, медиафайлов, служебных конфигураций и пр.

🛠 Инструменты:

• Java File API (Android)
• NSFileManager (iOS)
• ADB shell: find, ls
• Root shell (для доступа к системным разделам)

🧪 Пример:

• Вредоносное приложение сканирует /sdcard/Download на наличие PDF-файлов с личными данными или бухгалтерскими документами.

2. Location Tracking

• ID: T1430

📌 Описание:
Получение географического местоположения устройства (GPS-координаты, Wi-Fi геолокация, данные базовых станций).

🛠 Инструменты:

• LocationManager.getLastKnownLocation() (Android)
• CLLocationManager (iOS)
• Google Play Services (FusedLocationProvider)

🧪 Пример:

• Приложение запрашивает доступ к геолокации и периодически отправляет координаты жертвы на C2-сервер для физического отслеживания.

3. Network Service Scanning

• ID: T1423

📌 Описание:
Сканирование локальной сети (обычно Wi-Fi) на предмет активных устройств и сервисов, доступных через открытые порты.

🛠 Инструменты:

• Java sockets (Android)
• Bonjour/NSNetServiceBrowser (iOS)
• Custom TCP-сокеты и UDP-пинг

🧪 Пример:

• Вредоносное ПО сканирует диапазон 192.168.1.0/24 и определяет наличие NAS-устройств, принтеров или других смартфонов.

4. Process Discovery

• ID: T1418

📌 Описание:
Получение списка запущенных процессов или активных приложений, чтобы определить запущенные защитные средства или цели атаки.

🛠 Инструменты:

• ActivityManager.getRunningAppProcesses() (Android)
• ps, top (через ADB или root)
• Jailbreak-инструменты (iOS)

🧪 Пример:

• Приложение проверяет, активен ли антивирус (например, com.zimperium.zips), чтобы отключить вредоносную функциональность или замаскироваться.

5. Software Discovery

• ID: T1419

📌 Описание:
Сбор информации об установленном программном обеспечении, включая версии ОС, приложения, библиотеки и системные компоненты. Это помогает злоумышленнику определить потенциально уязвимые цели и пути дальнейшей атаки.

🛠 Инструменты:

• pm list packages (Android)
• PackageManager.getPackageInfo()
• system_profiler / systemversion.plist (iOS)
• uname, getprop (через shell)

🧪 Пример:

• Приложение собирает список установленных банковских приложений, чтобы определить, какое из них стоит имитировать или атаковать.

6. System Information Discovery

• ID: T1420

📌 Описание:
Извлечение общей информации о системе: модель устройства, марка, версия ОС, уровень патча безопасности, наличие root/jailbreak и др.

🛠 Инструменты:

• Build.MODEL / Build.VERSION (Android)
• UIDevice.current.systemVersion (iOS)
• getprop (через shell)

🧪 Пример:

• Вредоносное ПО проверяет, работает ли устройство на Android 9 с устаревшим патчем безопасности, чтобы использовать известную уязвимость для эскалации привилегий.

7. System Network Configuration Discovery

• ID: T1421

📌 Описание:
Сбор информации о сетевых настройках устройства: IP-адреса, DNS, шлюзы, прокси, MAC-адрес и пр.

🛠 Инструменты:

• WifiManager / ConnectivityManager (Android)
• ifconfig, ip route (через shell)
• NEHotspotNetwork, CNCopyCurrentNetworkInfo (iOS)

🧪 Пример:

• Злоумышленник извлекает IP-адрес и маску подсети устройства, чтобы использовать его как точку входа для атаки на другие устройства в сети.

8. System Network Connections Discovery

• ID: T1422

📌 Описание:
Определение текущих сетевых соединений устройства — исходящих или входящих. Это позволяет атакующим выявить активные сессии, C2-соединения конкурентов, VPN или прокси.

🛠 Инструменты:

• netstat, ss (через ADB/root)
• /proc/net/tcp, /proc/net/udp
• Custom code для подсмотра сетевых сокетов

🧪 Пример:

• Вредоносное ПО проверяет, подключено ли устройство к VPN, и меняет поведение (например, откладывает передачу данных).

🛡 Методы защиты от разведки окружения:

• Использование Mobile Threat Defense (MTD) для отслеживания подозрительных запросов к системной информации.
• Запрет опасных разрешений (например, на доступ к геолокации, уведомлениям, списку приложений).
• Обфускация конфигурации сети и системной информации.
• Обнаружение root/jailbreak и блокировка запуска ненадёжных приложений.

🔁 Тактика 8: Lateral Movement (Боковое перемещение)

📘 Описание (официальная):
The adversary is trying to move through your environment.
Злоумышленник пытается перемещаться по вашей инфраструктуре.

Тактика Lateral Movement включает техники, с помощью которых злоумышленник может получить доступ и контроль над другими системами в сети, находясь уже внутри компрометированной среды. Это может быть распространение вредоносного ПО, использование доверенных сервисов, внешних устройств или сетевых протоколов. Часто на мобильных устройствах это ограничено, но некоторые векторы всё же возможны.

📦 Количество техник: 2

1. Exploitation of Remote Services

• ID: T1476

📌 Описание:
Злоумышленник использует уязвимость в удалённых сервисах или протоколах, доступных с мобильного устройства, чтобы получить доступ к другим хостам в сети (например, к ноутбукам, IoT-устройствам, NAS).

🛠 Инструменты:

• Сторонние эксплойты (например, EternalBlue, если Android с root-доступом)
• Java TCP/UDP-сокеты
• Metasploit (при наличии расширенного доступа)
• Custom эксфильтрационные/эксплуатационные модули

🧪 Пример:

• Скомпрометированное Android-устройство сканирует локальную сеть и использует известную уязвимость SMBv1 для атаки на Windows-машину.
• Использование открытого Telnet-порта на IoT-устройстве в той же Wi-Fi-сети.

2. Replication Through Removable Media

• ID: T1477

📌 Описание:
Заражение других устройств через съёмные носители (например, SD-карты, USB-накопители при подключении к ПК и т.д.). Это может быть полезно при физическом доступе к устройству или при подключении мобильного устройства к другим системам.

🛠 Инструменты:

• Вредоносные файлы на SD-карте
• Autorun-скрипты (в средах с устаревшими ОС)
• USB HID-эмуляция (например, через OTG/ADB)

🧪 Пример:

• Вредоносное приложение копирует себя на SD-карту под видом легитимного APK. При установке на другом устройстве — повторное заражение.
• Подмена файлов на флешке, используемой и на мобильном, и на ПК, с целью заражения обеих платформ.

🛡 Методы защиты от бокового перемещения:

• Отключение ненужных сетевых сервисов и портов.
• Использование фаерволов на уровне устройства и сети Wi-Fi.
• Контроль доступа к USB/SD-картам (например, с MDM).
• Актуализация ПО на всех устройствах в инфраструктуре.
• Мониторинг аномального сетевого взаимодействия между мобильными и другими системами.

📥 Тактика 9: Collection (Сбор данных)

📘 Описание (официальная):
The adversary is trying to gather data of interest to their goal.
Злоумышленник пытается собрать данные, представляющие интерес для достижения своей цели.

Тактика Collection включает техники, которые используются для идентификации, извлечения и сбора чувствительной информации на мобильном устройстве до её возможной эксфильтрации. Это может быть пользовательская активность, мультимедиа, сообщения, системные логи, данные приложений и пр.

📦 Включает 13 техник.

1. Access Notifications

• ID: T1417

📌 Описание:
Получение данных из уведомлений, отображаемых в шторке устройства — включая мессенджеры, SMS, email и другие источники.

🛠 Инструменты:

• NotificationListenerService (Android)
• AccessibilityService
• Jailbreak-твики (iOS)

🧪 Пример:

• Приложение с разрешением на уведомления извлекает OTP-коды из SMS, отображающихся в push-уведомлениях.

2. Adversary-in-the-Middle

• ID: T1639

📌 Описание:
Перехват трафика между приложениями и их серверами или между пользователем и системой, чтобы захватить данные в пути.

🛠 Инструменты:

• MITM-прокси (Burp Suite, mitmproxy)
• Установка поддельного корневого сертификата
• VPN-инъекции

🧪 Пример:

• Вредоносное приложение устанавливает собственный CA-сертификат и перехватывает HTTPS-трафик приложений, таких как мессенджеры или браузеры.

3. Archive Collected Data

• ID: T1532

📌 Описание:
Упаковка и хранение собранных данных до момента эксфильтрации. Это может включать сжатие, шифрование или буферизацию.

🛠 Инструменты:

• ZIP/7z архиваторы (через Java API или нативный код)
• SQLite базы данных
• Временные директории (например, /data/data/[app]/cache)

🧪 Пример:

• Приложение собирает фотографии и сообщения, упаковывает их в ZIP и шифрует перед передачей на C2.

4. Audio Capture

• ID: T1429

📌 Описание:
Запись аудио с микрофона — как в фоновом, так и в активном режиме, для кражи приватных разговоров или фоновой речи.

🛠 Инструменты:

• MediaRecorder (Android)
• AVAudioRecorder (iOS)
• Нативные библиотеки записи

🧪 Пример:

• Вредоносное приложение активирует микрофон при каждой разблокировке экрана и записывает 30 секунд звука.

5. Call Control

• ID: T1415

📌 Описание:
Управление входящими и исходящими звонками — включая перехват, блокировку или автоматическое принятие.

🛠 Инструменты:

• TelecomManager / CallScreeningService (Android)
• iOS: ограничено, возможно только на jailbreak-устройствах

🧪 Пример:

• Приложение автоматически принимает входящий вызов от номера злоумышленника, не уведомляя пользователя.

6. Clipboard Data

• ID: T1416

📌 Описание:
Извлечение содержимого буфера обмена, в котором могут временно находиться пароли, адреса криптокошельков, ссылки, токены.

🛠 Инструменты:

• ClipboardManager (Android)
• UIPasteboard (iOS)
• AccessibilityService

🧪 Пример:

• Злоумышленник копирует адрес криптокошелька из буфера обмена и подменяет его на свой при вставке.

7. Data from Local System

• ID: T1533

📌 Описание:
Сбор файлов, данных или метаданных, находящихся на локальном мобильном устройстве. Это может включать документы, изображения, видео, текстовые заметки и другие пользовательские файлы.

🛠 Инструменты:

• File API (Android, iOS)
• ADB shell
• Root-доступ для доступа к системным каталогам

🧪 Пример:

• Вредоносное приложение сканирует /DCIM и /Download на наличие фотографий и PDF-документов, отправляя их на C2-сервер.

8. Input Capture

• ID: T1411

📌 Описание:
Перехват данных, вводимых пользователем с клавиатуры или сенсорного экрана, включая логины, пароли, PIN-коды и сообщения.

🛠 Инструменты:

• AccessibilityService (Android)
• Overlay через SYSTEM_ALERT_WINDOW
• Jailbreak-фреймворки (Substrate, Frida)

🧪 Пример:

• Приложение с правами Accessibility отслеживает нажатия клавиш при вводе пароля в банковское приложение.

9. Location Tracking

• ID: T1430

📌 Описание:
Постоянное или периодическое отслеживание геолокации устройства для создания маршрутов передвижения и анализа поведения пользователя.

🛠 Инструменты:

• FusedLocationProvider (Google Play API)
• LocationManager (Android)
• CLLocationManager (iOS)

🧪 Пример:

• Приложение записывает координаты GPS каждые 10 минут и сохраняет их в SQLite-базе для дальнейшей передачи.

10. Protected User Data

• ID: T1534

📌 Описание:
Доступ к конфиденциальной информации пользователя, защищённой системой или политиками. Это могут быть контакты, SMS, календари, список вызовов и т. д.

🛠 Инструменты:

• ContactsContract, SmsManager, CallLog (Android)
• NSPredicate, CNContactStore (iOS)
• Root/jailbreak-доступ

🧪 Пример:

• Приложение с root-доступом экспортирует всю историю вызовов и SMS из системной базы данных.

11. Screen Capture

• ID: T1513

📌 Описание:
Съемка экрана устройства для захвата визуального содержимого — переписки, интерфейсов приложений, ввода пароля и т. д.

🛠 Инструменты:

• MediaProjection API (Android)
• Jailbreak-утилиты (iOS)
• ADB screencap (при отладке)

🧪 Пример:

• Приложение активирует MediaProjection API и делает снимки экрана, когда пользователь запускает банковское приложение.

12. Stored Application Data

• ID: T1407

📌 Описание:
Извлечение данных, хранящихся в других приложениях — включая кэш, базы данных, настройки, файлы и cookie.

🛠 Инструменты:

• Root-доступ к /data/data/
• SQLite браузеры
• Frida/Xposed (перехват API)

🧪 Пример:

• Rooted-приложение копирует базу данных сообщений WhatsApp и извлекает переписку.

13. Video Capture

• ID: T1428

📌 Описание:
Запись видео с камеры устройства — может использоваться для шпионажа, захвата окружающей обстановки или компрометирующих данных.

🛠 Инструменты:

• Camera2 API (Android)
• AVFoundation (iOS)
• Нативные библиотеки

🧪 Пример:

• Приложение скрытно активирует фронтальную камеру при разблокировке экрана и записывает 10 секунд видео.

🛡 Методы защиты от сбора данных:

• Минимизация разрешений приложений (особенно на доступ к микрофону, камере, геолокации).
• Использование MTD/EDR-решений для мониторинга активности.
• Защита системных разделов и пользовательских данных (шифрование, sandbox).
• Контроль root/jailbreak-состояния устройства.

📡 Тактика 10: Command and Control (С2)(Командование и управление)

📘 Описание (официальная):
The adversary is trying to communicate with compromised devices to control them.
Злоумышленник пытается установить связь с скомпрометированным устройством для удалённого управления им.

Эта тактика описывает способы, с помощью которых злоумышленники устанавливают и поддерживают связь с заражёнными устройствами. Через C2-каналы они могут отправлять команды, получать данные, обновлять вредоносное ПО и управлять действиями на устройстве. В мобильной среде особенно распространены нестандартные подходы — например, использование SMS, публичных API, нестандартных портов и стеганографии.

📦 Всего: 9 техник

1. Application Layer Protocol

• ID: T1437

📌 Описание:
Использование стандартных прикладных протоколов (например, HTTP, HTTPS, FTP) для общения с C2-сервером. Часто применяется для сокрытия трафика среди легитимного сетевого обмена.

🛠 Инструменты:

• OkHttp/Retrofit (Android)
• NSURLSession (iOS)
• curl/wget (через shell)

🧪 Пример:

• Вредоносное приложение отправляет команды и получает ответы от сервера через HTTPS с использованием мимикрии под Google Analytics API.

2. Call Control

• ID: T1438

📌 Описание:
Управление телефонией устройства (исходящие/входящие звонки, DTMF-сигналы) как канал команд или передачи данных.

🛠 Инструменты:

• TelecomManager (Android)
• CallManager API (Jailbroken iOS)
• DTMF-последовательности

🧪 Пример:

• Злоумышленник звонит на номер заражённого устройства, которое распознаёт DTMF-команды (например, «#9») и начинает эксфильтрацию данных.

3. Dynamic Resolution

• ID: T1632

📌 Описание:
Использование динамических методов разрешения доменов — например, через DNS, DGA (алгоритмы генерации доменов), публичные API — чтобы скрыть реальный адрес C2-сервера.

🛠 Инструменты:

• DNS over HTTPS (DoH)
• Google Sheets / Pastebin / GitHub как источник доменов
• DGA-алгоритмы

🧪 Пример:

• Приложение запрашивает TXT-запись на случайном поддомене через DNS, чтобы получить IP-адрес C2.

4. Encrypted Channel

• ID: T1573

📌 Описание:
Использование шифрования (TLS, AES, RSA и др.) для защиты передаваемых данных и команд. Это затрудняет анализ трафика и обнаружение C2-канала.

🛠 Инструменты:

• HTTPS, TLS 1.2/1.3
• AES-шифрование полезной нагрузки
• SSL pinning (иногда с обходом)

🧪 Пример:

• Вредоносное ПО шифрует данные AES-ключом и передаёт их через HTTPS POST-запросы, имитируя обычный веб-трафик.

5. Ingress Tool Transfer

• ID: T1105

📌 Описание:
Передача вредоносных инструментов, скриптов или конфигураций на устройство через C2-канал.

🛠 Инструменты:

• HTTP/HTTPS загрузка (например, через DownloadManager)
• FTP, SFTP
• C2-сервер с репозиторием APK/DEX-файлов

🧪 Пример:

• После установки, приложение загружает дополнительный DEX-файл с C2 и исполняет его через DexClassLoader.

6. Non-Standard Port

• ID: T1571

📌 Описание:
Использование нестандартных портов (отличных от 80, 443 и т. д.) для установления C2-соединения с целью обхода фильтров и IDS/IPS-систем.

🛠 Инструменты:

• Custom socket-клиенты на нестандартных портах
• TCP/UDP bind/listen
• VPN-протоколы на нетипичных портах

🧪 Пример:

• Вредоносное приложение подключается к C2-серверу по TCP-порту 8081, имитируя легитимный сервис.

7. Out of Band Data

• ID: T1640

📌 Описание:
Использование альтернативных каналов связи, отличных от IP/интернета — таких как SMS, Bluetooth, QR-коды или другие физические каналы — для передачи команд или данных.

🛠 Инструменты:

• SMSManager (Android)
• BluetoothAdapter / BLE
• QR-код SDK

🧪 Пример:

• C2-команда отправляется устройству в виде SMS, которую перехватывает вредоносный компонент с разрешением READ_SMS и выполняет соответствующее действие.

8. Remote Access Software

• ID: T1219

📌 Описание:
Использование законных программ удалённого доступа (например, TeamViewer, AnyDesk, VNC), установленных на устройстве, для управления им без необходимости собственного C2-инструмента.

🛠 Инструменты:

• TeamViewer QuickSupport
• AnyDesk Android SDK
• VNC-серверы на root/jailbroken-устройствах

🧪 Пример:

• Злоумышленник вручную устанавливает TeamViewer на устройство и получает доступ через официальный клиент, обходя детекторы вредоносной активности.

9. Web Service

• ID: T1102

📌 Описание:
Использование легитимных веб-сервисов (например, Google Drive, Firebase, Twitter, GitHub) как канала передачи команд и данных. Это затрудняет обнаружение, поскольку трафик кажется легитимным.

🛠 Инструменты:

• Firebase Realtime Database / Firestore
• Google Sheets API
• Twitter API (для чтения команд из твитов)
• GitHub Gists

🧪 Пример:

• Приложение регулярно опрашивает Firebase-канал и извлекает JSON-команды от злоумышленника.

🛡 Методы защиты от C2:

• Ограничение разрешений (например, на отправку SMS, доступ к сети, Bluetooth).
• Использование MTD/EDR-решений с анализом сетевого поведения.
• Блокировка нестандартных портов и мониторинг DNS-запросов.
• Анализ HTTPS-трафика на основе SNI/JA3-фингерпринтов.
• Контроль использования легитимных удалённых приложений через MDM.

📤 Тактика 11: Exfiltration (Экспортация данных)

📘 Описание (официальная):
The adversary is trying to steal data.
Злоумышленник пытается вывести данные с устройства.

Тактика Exfiltration описывает методы, которые используются злоумышленниками для вывода украденной информации с устройства. В мобильной среде это особенно важно, поскольку устройства часто подключены к незащищённым или неконтролируемым сетям (например, мобильной передаче данных или общедоступному Wi-Fi), что открывает дополнительные векторы утечки данных. Экспорт может происходить как по уже установленному C2-каналу, так и через альтернативные протоколы, включая SMS или Bluetooth.

📦 Включает 2 техники:

1. Exfiltration Over Alternative Protocol

• ID: T1430

📌 Описание:
Вывод данных с устройства с использованием нестандартных или неинтернет-протоколов, таких как SMS, MMS, Bluetooth, NFC или аналоговые каналы.

🛠 Инструменты:

• SMSManager (Android)
• BluetoothAdapter или BLE API
• NFC API
• ADB pull (при физическом доступе)

🧪 Пример:

• Вредоносное ПО отправляет SMS с закодированными данными на номер злоумышленника, скрываясь от сетевых фильтров.
• Экспорт украденных фотографий через Bluetooth-соединение на соседнее устройство.

📌 Особенности:

• Может использоваться для обхода сетевого мониторинга и защиты, особенно если интернет заблокирован.
• Может вызывать подозрения из-за затрат на мобильную передачу данных (например, SMS).

2. Exfiltration Over C2 Channel

• ID: T1041

📌 Описание:
Вывод данных через уже установленный канал командования и управления (Command and Control), часто маскируясь под легитимный сетевой трафик.

🛠 Инструменты:

• HTTPS (POST-запросы)
• WebSockets
• Firebase Realtime Database
• Google Drive API, Dropbox API

🧪 Пример:

• Приложение упаковывает фотоальбом пользователя в ZIP-архив, шифрует его и отправляет через HTTPS на сервер злоумышленника.
• Чтение и запись данных в Google Sheets, имитируя легитимный API-трафик.

📌 Особенности:

• Один из самых распространённых и труднодетектируемых методов.
• Часто используется вместе с техникой Encrypted Channel (T1573) из тактики C2.

🛡 Методы защиты от эксфильтрации:

• Мониторинг исходящего сетевого трафика (возможно через MTD/EDR).
• Блокировка нестандартных каналов передачи (SMS с подозрительным содержимым, Bluetooth в фоновом режиме).
• Шифрование и защита чувствительных данных в хранилищах.
• Ограничение разрешений приложений на сетевой доступ и доступ к конфиденциальной информации.

Тактика 12: Impact (Воздействие)

📘 Описание (официальная):
The adversary is trying to manipulate, interrupt, or destroy your devices and data.
Злоумышленник пытается манипулировать устройством, нарушить его работу или уничтожить данные.

Тактика Impact включает техники, направленные на достижение конечных целей злоумышленника, таких как: вывод устройства из строя, уничтожение данных, вымогательство, мошенничество (например, с платными SMS), саботаж, манипуляция информацией и т.п. Эти действия могут быть как финальным этапом атаки, так и способом давления на пользователя или организацию.

📦 Всего: 10 техник.

1. Account Access Removal

• ID: T1531

📌 Описание:
Удаление или блокировка доступа пользователя к его аккаунтам (например, Google, Apple ID, банковским аккаунтам), чтобы лишить его контроля над устройством или данными.

🛠 Инструменты:

• Credential revocation через API
• Удаление/замена аккаунта через root-доступ
• Изменение паролей через перехваченные токены

🧪 Пример:

• Вредоносное ПО сбрасывает настройки Google-аккаунта и добавляет новый, принадлежащий злоумышленнику, чтобы заблокировать владельца от использования устройства после перезагрузки (factory reset protection bypass).

2. Call Control

• ID: T1415

📌 Описание:
Злоумышленник перехватывает, перенаправляет или блокирует входящие и исходящие звонки, нарушая работу устройства и/или совершая мошеннические действия.

🛠 Инструменты:

• TelecomManager (Android)
• CallScreeningService
• Jailbreak API (iOS)

🧪 Пример:

• Приложение автоматически принимает звонки и перенаправляет их на платные номера без ведома пользователя.

3. Data Destruction

• ID: T1485

📌 Описание:
Уничтожение данных на устройстве, включая удаление файлов, форматирование разделов или сброс устройства до заводских настроек.

🛠 Инструменты:

• File.delete()
• Shell-команды: rm -rf, wipe
• Recovery-скрипты (через root)

🧪 Пример:

• Приложение удаляет весь каталог /sdcard/DCIM и вызывает wipe данных через root-доступ, оставляя устройство «чистым».

4. Data Encrypted for Impact

• ID: T1486

📌 Описание:
Шифрование пользовательских данных с целью вымогательства (мобильный ransomware). Доступ к данным восстанавливается только после выплаты выкупа.

🛠 Инструменты:

• AES, RSA библиотеки (BouncyCastle, OpenSSL)
• File I/O API
• UI-блокировка для демонстрации требований

🧪 Пример:

• Все фото пользователя зашифровываются, и отображается экран с требованием перевести криптовалюту для расшифровки.

5. Data Manipulation

• ID: T1565

📌 Описание:
Изменение критически важной информации на устройстве (например, сообщений, контактов, файлов) с целью дезинформации, саботажа или нанесения вреда пользователю.

🛠 Инструменты:

• ContentResolver (Android)
• Direct file writes (root)
• SQLite API

🧪 Пример:

• Изменение контактов в адресной книге, чтобы переадресовать вызовы доверенным лицам на номера злоумышленника.

6. Endpoint Denial of Service

• ID: T1499

📌 Описание:
Выведение устройства из строя или существенное замедление его работы путём перегрузки ресурсов: процессора, памяти, хранилища или интерфейсов. Может применяться для саботажа, отвлечения внимания или давления.

🛠 Инструменты:

• Бесконечные циклы и таймеры
• Заполнение памяти (файлами, логами)
• Блокировка UI через Service

🧪 Пример:

• Приложение запускает десятки «невидимых» сервисов, перегружая CPU и батарею, вызывая перегрев и торможение системы.

7. Generate Traffic from Victim

• ID: T1643

📌 Описание:
Создание сетевого трафика с устройства жертвы, например — для участия в DDoS-атаке, майнинга, спама или распространения вредоносных ссылок от имени пользователя.

🛠 Инструменты:

• HTTP flood-боты
• WebView (открытие ссылок)
• Сетевые сокеты

🧪 Пример:

• Устройство отправляет POST-запросы на сайт-жертву в рамках DDoS, маскируясь под легитимного пользователя.

8. Input Injection

• ID: T1411

📌 Описание:
Инъекция событий ввода (нажатия, свайпы, ввод текста) для имитации действий пользователя. Может использоваться для автоматического подтверждения, обхода защиты или запуска вредоносных операций.

🛠 Инструменты:

• AccessibilityService (Android)
• input (ADB shell)
• Touch Injection API

🧪 Пример:

• Приложение автоматически нажимает кнопку «Подтвердить покупку» в магазине, инициируя списание денежных средств.

9. Network Denial of Service

• ID: T1644

📌 Описание:
Создание перегрузки сетевого интерфейса устройства, блокирование интернет-соединения или замедление работы приложений, использующих сеть.

🛠 Инструменты:

• Flood-пакеты (через сокеты)
• Постоянные ping-запросы
• Массовые исходящие соединения

🧪 Пример:

• Вредоносное ПО инициирует сотни одновременных соединений с внешними адресами, вызывая исчерпание канала мобильной передачи данных.

10. SMS Control

• ID: T1645

📌 Описание:
Использование устройства для отправки или перехвата SMS. Это может быть использовано для мошенничества (toll fraud), обхода двухфакторной аутентификации или массовой рассылки вредоносных сообщений.

🛠 Инструменты:

• SmsManager (Android)
• READ_SMS / SEND_SMS разрешения
• Root-доступ (для перехвата)

🧪 Пример:

• Приложение отправляет десятки SMS на платные короткие номера, что приводит к большим затратам для пользователя.

🛡 Методы защиты от воздействия:

• Блокировка опасных разрешений (SMS, Accessibility, Overlay и пр.)
• Мониторинг потребления ресурсов и аномального сетевого поведения (MTD/EDR)
• Контроль root/jailbreak-состояния
• Использование MDM для управления политиками системы

Раз вы прочитали эту статью, скорее всего вам будет интересен весь раздел про Анонимность в сети, а также Инструменты хакера / пентестера

Если Вам интересно, что еще можно найти на канале QA Helper, прочитайте статью: Вместо оглавления. Что вы найдете на канале QA Helper - справочник тестировщика?

Не забудьте подписаться на канал, чтобы не пропустить полезную информацию: QA Helper - справочник тестировщика

Пишите в комментариях что еще было бы интересно рассмотреть более подробно.