Техника на mitre.org

T1217: Изучение браузера

Злоумышленники могут изучать информацию о браузерах, чтобы получить дополнительные сведения о скомпрометированной среде. Данные, сохраненные в браузерах (закладки, учетные записи и история просмотров), могут служить источником ценной информации о частной жизни пользователей (сайты банков, отношения, интересы, социальные сети и т. д.), а также сведений о внутренних сетевых ресурсах — серверах, инструментах, панелях мониторинга и других элементах инфраструктуры.

После получения доступа к действительным учетным данным, особенно к учетным данным в файлах кэша браузера, созданных при входе пользователей в учетные записи, злоумышленники могут изучать браузер для поиска дополнительных целей.

Разные платформы и приложения хранят такие данные в разных расположениях, но информация о браузерах обычно хранится в локальных файлах и базах данных (например, %APPDATA%/Google/Chrome).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-765: Credential_Access_To_Passwords_Storage: Обращение к файлам, содержащим учетные данные, платежную информацию, историю посещения веб-сайтов, закладки или cookie (браузеры, хранилища паролей, приложения для видео-конференц-связи)

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о браузере, включая локальные файлы и базы данных (например, в каталоге `%APPDATA%/Google/Chrome`). Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API для сбора информации. Для сбора информации также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте нетипичные попытки доступа к хранимым данным браузера, включая файлы в локальной системе и базы данных (например, в папке `%APPDATA%/Google/Chrome`). Рекомендуется рассматривать эти события не в отрыве друг от друга, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая сбор информации и эксфильтрацию.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы с аргументами, которые могут использоваться для сбора информации о браузере, например локальных файлов и баз данных (в частности, `%APPDATA%/Google/Chrome`).

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о браузере, включая локальные файлы и базы данных (например, в каталоге `%APPDATA%/Google/Chrome`). Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API для сбора информации. Для сбора информации также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.
DS0022	Файл: Доступ к файлу	Отслеживайте нетипичные попытки доступа к хранимым данным браузера, включая файлы в локальной системе и базы данных (например, в папке `%APPDATA%/Google/Chrome`). Рекомендуется рассматривать эти события не в отрыве друг от друга, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая сбор информации и эксфильтрацию.
DS0009	Процесс: Создание процесса	Отслеживайте процессы с аргументами, которые могут использоваться для сбора информации о браузере, например локальных файлов и баз данных (в частности, `%APPDATA%/Google/Chrome`).