Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1056 , T1056.001 , T1056.002 , T1056.003 , T1056.004
Злоумышленники могут регистрировать нажатия клавиш пользователя, чтобы перехватить учетные данные, когда пользователь их набирает. Запись с клавиатуры может использоваться для получения учетных данных для новых возможностей доступа, когда попытки OS Credential Dumping неэффективны, и может потребовать от злоумышленника перехвата нажатий клавиш в системе в течение значительного периода времени, прежде чем учетные данные будут успешно перехвачены.Чтобы повысить вероятность быстрого перехвата учетных данных, злоумышленник может также выполнять такие действия, как очистка cookies браузера, чтобы заставить пользователей повторно аутентифицироваться в системе.(Цит. по: Talos Kimsuky Nov 2021)
Перехват нажатия клавиш - наиболее распространенный тип перехвата ввода, причем существует множество различных способов перехвата нажатия клавиш.(Цит. по: Adventures of a Keystroke) Некоторые методы включают:
* Перехват обратных вызовов API, используемых для обработки нажатий клавиш. В отличие от Credential API Hooking, здесь рассматриваются исключительно функции API, предназначенные для обработки данных о нажатии клавиш.
* Чтение необработанных данных нажатия клавиш из аппаратного буфера.
* Модификации реестра Windows.
* Пользовательские драйверы.
* Modify System Image может предоставить злоумышленникам крючки в операционной системе сетевых устройств для считывания необработанных нажатий клавиш для сеансов входа в систему.(Цит. по: Cisco Blog Legacy Device Attacks)
https://attack.mitre.org/techniques/T1056/001
Визуализация смежных техник для T1056.001
| № | Техника |
|---|
