T1113: Захват экрана

В ходе операции злоумышленники могут сделать снимки экрана компьютера для получения необходимой информации. Функция создания снимков экрана может быть включена в состав средства удаленного доступа, используемого после компрометации. Снимок экрана также можно сделать и с помощью встроенных утилит или вызовов API, например CopyFromScreen, xwd или screencapture.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Обнаружено использование теневого RDP-подключения mitre_attck_collection: PT-CR-498: Shadow_Screen_Save: Обнаружение попыток сделать скрытый снимок экрана mitre_attck_collection: PT-CR-499: Shadow_Screen_Saves_PowerShell: Обнаружение попыток сделать множество скрытых снимков экрана через PowerShell

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых злоумышленники могут сделать снимки экрана компьютера для получения необходимой информации.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживание активности по захвату экрана зависит от метода получения данных из операционной системы и записи выходных файлов. К методам обнаружения можно отнести сбор информации о необычных процессах, собирающих графические данные с помощью вызовов API, и отслеживание файлов изображений, записываемых на диск, например CopyFromScreen, xwd или screencapture. Для выявления вредоносной активности может потребоваться сопоставить данные датчиков с другими событиями, учитывая легитимность такого поведения в конкретной сетевой среде.