T1056: Перехват вводимых данных
Злоумышленники могут использовать различные методы перехвата вводимых пользователем данных для получения учетных данных или сбора информации. При обычной работе с системой пользователи часто предоставляют свои учетные данные, например на страницах входа, порталах или в системных диалоговых окнах. Механизмы перехвата вводимых данных могут быть прозрачны для пользователя (например, Перехват учетных данных через API), или же они могут пытаться ввести пользователя в заблуждение, чтобы тот ввел свои учетные данные, думая, что использует легитимный сервис (например, Перехват данных на веб-порталах).
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Проверяйте целостность активных процессов путем сопоставления кода в памяти с кодом соответствующих статических бинарных файлов, в частности, проверяйте переходы и другие команды, перенаправляющие поток выполнения. |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы функций API SetWindowsHookEx и SetWinEventHook, которые устанавливают процедуры-перехватчики. Также по возможности анализируйте цепочки перехватчиков (которые содержат указатели на процедуры-перехватчики для каждого типа перехвата) с помощью соответствующих инструментов или путем программного анализа внутренних структур ядра. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте неожиданные изменения в ключах реестра Windows или значениях. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, связанных со страницами входа, в веб-каталоге организации, которые не соответствуют авторизованным обновлениям содержимого веб-сервера. |
---|