T1056.004: Перехват учетных данных через API
Злоумышленники могут перехватывать вызовы функций программного интерфейса приложений (API) Windows для сбора учетных данных пользователей. Вредоносные механизмы могут перехватывать вызовы API, которые включают параметры, раскрывающие аутентификационные данные пользователей. В отличие от регистрации нажатий клавиш, эта техника использует исключительно функции API, включающие параметры, которые раскрывают учетные данные пользователя. Перехват включает перенаправление вызовов этих функций и может быть реализован следующими способами:
- Процедуры перехвата, которые перехватывают вызовы и выполняют специальный код, реагируя на такие события, как сообщения, нажатия клавиш и ввод данных от мыши.
- Перехват таблицы адресов импортов (IAT), при котором подменяется IAT процесса, в которой хранятся указатели на импортируемые функции API.
- Перехват с изменением тела функции, при котором перезаписываются первые байты функции API для перенаправления потока выполнения.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-768: Intercept_Creds_From_MSTSC: Обнаружена выгрузка учетных данных, использованных в процессе mstsc.exe при RDP подключении hacking_tools: PT-CR-760: SharpRDPThief_Usage: Обнаружено использование утилиты SharpRDPThief для сохранения учетных данных RDP-сессии hacking_tools: PT-CR-763: Subrule_Thread_SharpRDPThief_Usage: Обнаружено подключение библиотеки Easyhook.dll к вредоносному процессу и создание им потоков в процессе mstsc.exe hacking_tools: PT-CR-762: Subrule_MSTSC_SharpRDPThief_Usage: Обнаружено внедрение библиотек Easyhook.dll и Easyload.dll в процесс mstsc.exe
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Метаданные процесса | Описание | Проверяйте целостность активных процессов путем сопоставления кода в памяти с кодом соответствующих статических бинарных файлов, в частности проверяйте переходы и другие команды, перенаправляющие поток выполнения. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы функций API SetWindowsHookEx и SetWinEventHook, которые устанавливают процедуры-перехватчики. Также по возможности анализируйте цепочки перехватчиков (которые содержат указатели на процедуры-перехватчики для каждого типа перехвата) с помощью соответствующих инструментов или путем программного анализа внутренних структур ядра. |
---|