MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1056: Перехват вводимых данных

Злоумышленники могут использовать различные методы перехвата вводимых пользователем данных для получения учетных данных или сбора информации. При обычной работе с системой пользователи часто предоставляют свои учетные данные, например на страницах входа, порталах или в системных диалоговых окнах. Механизмы перехвата вводимых данных могут быть прозрачны для пользователя (например, Перехват учетных данных через API), или же они могут пытаться ввести пользователя в заблуждение, чтобы тот ввел свои учетные данные, думая, что использует легитимный сервис (например, Перехват данных на веб-порталах).

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Проверяйте целостность активных процессов путем сопоставления кода в памяти с кодом соответствующих статических бинарных файлов, в частности, проверяйте переходы и другие команды, перенаправляющие поток выполнения.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте необычные действия по установке драйверов ядра.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы функций API SetWindowsHookEx и SetWinEventHook, которые устанавливают процедуры-перехватчики. Также по возможности анализируйте цепочки перехватчиков (которые содержат указатели на процедуры-перехватчики для каждого типа перехвата) с помощью соответствующих инструментов или путем программного анализа внутренних структур ядра.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте неожиданные изменения в ключах реестра Windows или значениях.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, связанных со страницами входа, в веб-каталоге организации, которые не соответствуют авторизованным обновлениям содержимого веб-сервера.