T1056.001: Регистрация нажатий клавиш

Злоумышленники могут записывать, какие клавиши нажимает пользователь, с целью перехвата учетных данных, вводимых с клавиатуры. Регистрация нажатий клавиш обычно используется с целью получения учетных данных для новых возможностей доступа, когда неэффективны такие техники, как, например, Получение дампа учетных данных. Чтобы успешно получить учетные данные, злоумышленникам иногда приходится записывать нажатия клавиш в течение весьма длительного периода времени. Для повышения вероятности быстрого перехвата учетных данных злоумышленники могут предпринимать дополнительные меры, например очищать куки браузера, чтобы вынудить пользователя повторно авторизоваться в системе.

Регистрация нажатий клавиш — самый широко используемый метод перехвата вводимых данных, и существует множество способов его реализации. Например:

  • Перехват обратных вызовов API, используемых для обработки нажатий клавиш. В отличие от перехвата учетных данных через API, этот метод задействует только функции API, предназначенные для обработки данных о нажатиях клавиш.
  • Считывание необработанных данных о нажатиях клавиш из аппаратного буфера.
  • Изменение значений в реестре Windows.
  • Использование специальных драйверов.
  • Изменение образа системы на сетевых устройствах может предоставить злоумышленникам возможность перехватывать необработанные данные нажатий клавиш в ходе рабочих сеансов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1013: PuntoSwitcher_Diary_Open: Возможное использование дневника Punto Switcher в качестве клавиатурного шпиона

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API SetWindowsHook, GetKeyState и GetAsyncKeyState и другие стандартные вызовы API для регистрации нажатий клавиш. Сами по себе вызовы этих API не обязательно свидетельствуют о регистрации нажатия клавиш, но могут предоставить поведенческие данные, которые можно сопоставить с другой информацией, например о записи новых файлов на диск и появлении необычных процессов.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

Отслеживайте необычные действия по установке драйверов ядра.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте неожиданные изменения в ключах и значениях реестра Windows.