T1113: Захват экрана
В ходе операции злоумышленники могут сделать снимки экрана компьютера для получения необходимой информации. Функция создания снимков экрана может быть включена в состав средства удаленного доступа, используемого после компрометации. Снимок экрана также можно сделать и с помощью встроенных утилит или вызовов API, например CopyFromScreen
, xwd
или screencapture
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Обнаружено использование теневого RDP-подключения mitre_attck_collection: PT-CR-498: Shadow_Screen_Save: Обнаружение попыток сделать скрытый снимок экрана mitre_attck_collection: PT-CR-499: Shadow_Screen_Saves_PowerShell: Обнаружение попыток сделать множество скрытых снимков экрана через PowerShell
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых злоумышленники могут сделать снимки экрана компьютера для получения необходимой информации. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживание активности по захвату экрана зависит от метода получения данных из операционной системы и записи выходных файлов. К методам обнаружения можно отнести сбор информации о необычных процессах, собирающих графические данные с помощью вызовов API, и отслеживание файлов изображений, записываемых на диск, например |
---|