T1056.002: Перехват данных с помощью подмены пользовательского интерфейса
Злоумышленники могут имитировать типичные компоненты графического пользовательского интерфейса операционной системы, чтобы подтолкнуть пользователя к вводу учетных данных в якобы легитимном контексте. При выполнении программ, требующих дополнительных привилегий, доступных текущему пользователю, операционная система обычно запрашивает у пользователя учетные данные, необходимые для авторизации с повышенными привилегиями, требуемыми для данной задачи. Некоторые вредоносные техники, например Обход контроля учетных записей, также требуют повышения привилегий.
Злоумышленники могут имитировать эту функциональность посредством якобы легитимного предложения ввести учетные данные — например, с помощью поддельной программы установки, требующей дополнительных прав доступа, или поддельного решения для защиты от вредоносного ПО. Такие запросы могут использоваться для сбора учетных данных и создаваться на различных языках, например AppleScript и PowerShell. В системах на базе Linux злоумышленники могут открывать диалоговые окна с запросом учетных данных пользователя посредством вредоносных сценариев или командной строки (командной оболочки Unix).
Злоумышленники также могут имитировать обычные запросы программ на аутентификацию, например, от браузеров или клиентов электронной почты. Эта техника может совмещаться с отслеживанием активности пользователя путем (изучения браузера и (или) открытых приложений) для подмены запросов, когда пользователи обращаются к сайтам или данным, требующим аутентификации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Windows: Мониторинг событий запуска процессов, в командной строке которых есть код PowerShell одновременно с фрагментами «UI.PromptForCredential» и «GetNetworkCredential().Password» — либо с «Get-Credential». — Linux: Мониторинг событий запуска процессов, в командной строке которых выполняется команда «zenity» с аргументом --password\
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запроса учетных данных и (или) строк, связанных с созданием потенциально вредоносных приглашений на ввод пароля. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Научите пользователей распознавать потенциально вредоносные события и диалоговые окна (например, документы Office, которые запрашивают учетные данные). |
---|