译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1141
术语表: /attack/glossary
当执行的程序需要比当前用户上下文中更多的特权时,操作系统通常会提示用户以获取恰当的凭据,以便给任务授权提升特权。
攻击者可以模拟此功能,以正常外观的提示提示用户凭据。
这种类型的提示可以用 AppleScript 实现:
set thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")
攻击者可以出于许多冒充正常使用的原因提示用户,例如需要额外访问权限的虚假安装程序或虚假恶意软件删除套件。
用户需要接受培训,以了解哪些程序需要权限,以及为什么需要权限。 遵循 AppleScript 的缓解建议。
此技术利用了用户在出现提示时总是提供凭据的倾向,使得检测非常困难。 监视异常程序的进程执行情况,以及可用于提示用户输入凭据的 AppleScript。