T1115: Данные из буфера обмена
Злоумышленники могут собирать данные, сохраняемые в буфере обмена при копировании пользователями информации из приложений.
Например, в Windows злоумышленники могут получить доступ к данным в буфере обмена, используя clip.exe
или Get-Clipboard
. Кроме того, злоумышленники могут отслеживать содержимое пользовательского буфера обмена и в нужный момент подменять его собственными данными (например, используя технику Манипуляции с передаваемыми данными).
В macOS и Linux также есть команды для получения содержимого буфера обмена, такие как pbpaste
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_collection: PT-CR-491: Clipboard_Access: Обнаружение попыток сделать теневую копию информации, скопированной в буфер обмена mitre_attck_collection: PT-CR-492: Clipboard_Access_Powershell: Обнаружение попыток сделать теневую копию информации, скопированной в буфер обмена, через PowerShell
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, которые могут использоваться для сбора данных, сохраняемых в буфере обмена при копировании пользователями информации из приложений. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора данных, сохраняемых в буфере обмена при копировании пользователями информации из приложений. |
---|