T1056.004: Перехват учетных данных через API

Злоумышленники могут перехватывать вызовы функций программного интерфейса приложений (API) Windows для сбора учетных данных пользователей. Вредоносные механизмы могут перехватывать вызовы API, которые включают параметры, раскрывающие аутентификационные данные пользователей. В отличие от регистрации нажатий клавиш, эта техника использует исключительно функции API, включающие параметры, которые раскрывают учетные данные пользователя. Перехват включает перенаправление вызовов этих функций и может быть реализован следующими способами:

  • Процедуры перехвата, которые перехватывают вызовы и выполняют специальный код, реагируя на такие события, как сообщения, нажатия клавиш и ввод данных от мыши.
  • Перехват таблицы адресов импортов (IAT), при котором подменяется IAT процесса, в которой хранятся указатели на импортируемые функции API.
  • Перехват с изменением тела функции, при котором перезаписываются первые байты функции API для перенаправления потока выполнения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-768: Intercept_Creds_From_MSTSC: Обнаружена выгрузка учетных данных, использованных в процессе mstsc.exe при RDP подключении hacking_tools: PT-CR-760: SharpRDPThief_Usage: Обнаружено использование утилиты SharpRDPThief для сохранения учетных данных RDP-сессии hacking_tools: PT-CR-763: Subrule_Thread_SharpRDPThief_Usage: Обнаружено подключение библиотеки Easyhook.dll к вредоносному процессу и создание им потоков в процессе mstsc.exe hacking_tools: PT-CR-762: Subrule_MSTSC_SharpRDPThief_Usage: Обнаружено внедрение библиотек Easyhook.dll и Easyload.dll в процесс mstsc.exe

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Метаданные процессаОписание

Проверяйте целостность активных процессов путем сопоставления кода в памяти с кодом соответствующих статических бинарных файлов, в частности проверяйте переходы и другие команды, перенаправляющие поток выполнения.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы функций API SetWindowsHookEx и SetWinEventHook, которые устанавливают процедуры-перехватчики. Также по возможности анализируйте цепочки перехватчиков (которые содержат указатели на процедуры-перехватчики для каждого типа перехвата) с помощью соответствующих инструментов или путем программного анализа внутренних структур ядра.