T1115: Данные из буфера обмена

Злоумышленники могут собирать данные, сохраняемые в буфере обмена при копировании пользователями информации из приложений.

Например, в Windows злоумышленники могут получить доступ к данным в буфере обмена, используя clip.exe или Get-Clipboard. Кроме того, злоумышленники могут отслеживать содержимое пользовательского буфера обмена и в нужный момент подменять его собственными данными (например, используя технику Манипуляции с передаваемыми данными).

В macOS и Linux также есть команды для получения содержимого буфера обмена, такие как pbpaste.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-491: Clipboard_Access: Обнаружение попыток сделать теневую копию информации, скопированной в буфер обмена mitre_attck_collection: PT-CR-492: Clipboard_Access_Powershell: Обнаружение попыток сделать теневую копию информации, скопированной в буфер обмена, через PowerShell

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, которые могут использоваться для сбора данных, сохраняемых в буфере обмена при копировании пользователями информации из приложений.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора данных, сохраняемых в буфере обмена при копировании пользователями информации из приложений.