T1217: Изучение браузера
Злоумышленники могут изучать информацию о браузерах, чтобы получить дополнительные сведения о скомпрометированной среде. Данные, сохраненные в браузерах (закладки, учетные записи и история просмотров), могут служить источником ценной информации о частной жизни пользователей (сайты банков, отношения, интересы, социальные сети и т. д.), а также сведений о внутренних сетевых ресурсах — серверах, инструментах, панелях мониторинга и других элементах инфраструктуры.
После получения доступа к действительным учетным данным, особенно к учетным данным в файлах кэша браузера, созданных при входе пользователей в учетные записи, злоумышленники могут изучать браузер для поиска дополнительных целей.
Разные платформы и приложения хранят такие данные в разных расположениях, но информация о браузерах обычно хранится в локальных файлах и базах данных (например, %APPDATA%/Google/Chrome
).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Существует множество реализаций данной подтехники, далее приведены основные способы ее обнаружения. — Мониторинг событий получения доступа к информации, хранимой браузерами (такой как локальные файлы и базы данных). Например, places.sqlite (Firefox), Bookmarks в директории C:\Users, закладки в директории %USERPROFILE%\Favorites (IE на Windows), файлы в директории %APPDATA%/Google/Chrome, файл %USERPROFILE%\AppData\Local\Google\Chrome\User Data\LocalState. — Мониторинг событий запуска процессов, связанных с получением доступа к указанным выше файлам (эти файлы будут аргументами командной строки), с помощью встроенных средств ОС, таких как cmd, WMI и PowerShell
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы с аргументами, которые могут использоваться для сбора информации о браузере, например локальных файлов и баз данных (в частности, |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о браузере, включая локальные файлы и базы данных (например, в каталоге |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте нетипичные попытки доступа к хранимым данным браузера, включая файлы в локальной системе и базы данных (например, в папке |
---|