T1123: Захват аудиоданных
Злоумышленники могут использовать периферийные устройства компьютера (например, микрофоны и веб-камеры) или установленные приложения (например, приложения голосовой или видеосвязи) для перехвата аудиоданных с целью прослушивания конфиденциальных разговоров и сбора информации из них.
При перехвате аудиоданных для взаимодействия с устройствами через API, предоставляемый операционной системой или приложением, могут использоваться вредоносные программы или сценарии. Аудиофайлы могут записываться на диск для последующей эксфильтрации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий запуска командлетов WindowsAudioDevice-Powershell-Cmdlet и Get-MicrophoneAudio. — Мониторинг событий добавления ключей реестра в ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\Microphone. — Мониторинг событий запуска процессов, в командной строке которых содержатся операции копирования файлов из директории %APPDATA%\Intel\Skype
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для перехвата аудиоданных с целью прослушивания конфиденциальных разговоров и сбора информации через периферийные устройства компьютера (например, микрофоны и веб-камеры) или установленные приложения, используемые для голосовых вызовов или видеозвонков. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, позволяющие использовать периферийные устройства (например, микрофоны и веб-камеры) или приложения (например, для голосовой и видеосвязи) для перехвата аудиоданных с целью прослушивания конфиденциальных разговоров и сбора информации из них. |
|---|