MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1056.002: Перехват данных с помощью подмены пользовательского интерфейса

Злоумышленники могут имитировать типичные компоненты графического пользовательского интерфейса операционной системы, чтобы подтолкнуть пользователя к вводу учетных данных в якобы легитимном контексте. При выполнении программ, требующих дополнительных привилегий, доступных текущему пользователю, операционная система обычно запрашивает у пользователя учетные данные, необходимые для авторизации с повышенными привилегиями, требуемыми для данной задачи. Некоторые вредоносные техники, например Обход контроля учетных записей, также требуют повышения привилегий.

Злоумышленники могут имитировать эту функциональность посредством якобы легитимного предложения ввести учетные данные — например, с помощью поддельной программы установки, требующей дополнительных прав доступа, или поддельного решения для защиты от вредоносного ПО. Такие запросы могут использоваться для сбора учетных данных и создаваться на различных языках, например AppleScript и PowerShell. В системах на базе Linux злоумышленники могут открывать диалоговые окна с запросом учетных данных пользователя посредством вредоносных сценариев или командной строки (командной оболочки Unix).

Злоумышленники также могут имитировать обычные запросы программ на аутентификацию, например, от браузеров или клиентов электронной почты. Эта техника может совмещаться с отслеживанием активности пользователя путем (изучения браузера и (или) открытых приложений) для подмены запросов, когда пользователи обращаются к сайтам или данным, требующим аутентификации.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments, such as requests for credentials and/or strings related to creating password prompts that may be malicious.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Use user training as a way to bring awareness and raise suspicion for potentially malicious events and dialog boxes (ex: Office documents prompting for credentials).