T1056.002: Перехват данных с помощью подмены пользовательского интерфейса
Злоумышленники могут имитировать типичные компоненты графического пользовательского интерфейса операционной системы, чтобы подтолкнуть пользователя к вводу учетных данных в якобы легитимном контексте. При выполнении программ, требующих дополнительных привилегий, доступных текущему пользователю, операционная система обычно запрашивает у пользователя учетные данные, необходимые для авторизации с повышенными привилегиями, требуемыми для данной задачи. Некоторые вредоносные техники, например Обход контроля учетных записей, также требуют повышения привилегий.
Злоумышленники могут имитировать эту функциональность посредством якобы легитимного предложения ввести учетные данные — например, с помощью поддельной программы установки, требующей дополнительных прав доступа, или поддельного решения для защиты от вредоносного ПО. Такие запросы могут использоваться для сбора учетных данных и создаваться на различных языках, например AppleScript и PowerShell. В системах на базе Linux злоумышленники могут открывать диалоговые окна с запросом учетных данных пользователя посредством вредоносных сценариев или командной строки (командной оболочки Unix).
Злоумышленники также могут имитировать обычные запросы программ на аутентификацию, например, от браузеров или клиентов электронной почты. Эта техника может совмещаться с отслеживанием активности пользователя путем (изучения браузера и (или) открытых приложений) для подмены запросов, когда пользователи обращаются к сайтам или данным, требующим аутентификации.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Monitor for any attempts to enable scripts running on a system would be considered suspicious. If scripts are not commonly used on a system, but enabled, scripts running out of cycle from patching or other administrator functions are suspicious. Scripts should be captured from the file system when possible to determine their actions and intent. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments, such as requests for credentials and/or strings related to creating password prompts that may be malicious. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Use user training as a way to bring awareness and raise suspicion for potentially malicious events and dialog boxes (ex: Office documents prompting for credentials). |
---|