T1056.001: Регистрация нажатий клавиш
Злоумышленники могут записывать, какие клавиши нажимает пользователь, с целью перехвата учетных данных, вводимых с клавиатуры. Регистрация нажатий клавиш обычно используется с целью получения учетных данных для новых возможностей доступа, когда неэффективны такие техники, как, например, Получение дампа учетных данных. Чтобы успешно получить учетные данные, злоумышленникам иногда приходится записывать нажатия клавиш в течение весьма длительного периода времени. Для повышения вероятности быстрого перехвата учетных данных злоумышленники могут предпринимать дополнительные меры, например очищать куки браузера, чтобы вынудить пользователя повторно авторизоваться в системе.
Регистрация нажатий клавиш — самый широко используемый метод перехвата вводимых данных, и существует множество способов его реализации. Например:
- Перехват обратных вызовов API, используемых для обработки нажатий клавиш. В отличие от перехвата учетных данных через API, этот метод задействует только функции API, предназначенные для обработки данных о нажатиях клавиш.
- Считывание необработанных данных о нажатиях клавиш из аппаратного буфера.
- Изменение значений в реестре Windows.
- Использование специальных драйверов.
- Изменение образа системы на сетевых устройствах может предоставить злоумышленникам возможность перехватывать необработанные данные нажатий клавиш в ходе рабочих сеансов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-1013: PuntoSwitcher_Diary_Open: Возможное использование дневника Punto Switcher в качестве клавиатурного шпиона
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API SetWindowsHook, GetKeyState и GetAsyncKeyState и другие стандартные вызовы API для регистрации нажатий клавиш. Сами по себе вызовы этих API не обязательно свидетельствуют о регистрации нажатия клавиш, но могут предоставить поведенческие данные, которые можно сопоставить с другой информацией, например о записи новых файлов на диск и появлении необычных процессов. |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживайте необычные действия по установке драйверов ядра. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте неожиданные изменения в ключах и значениях реестра Windows. |
---|