Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1056 , T1056.001 , T1056.002 , T1056.003 , T1056.004
Злоумышленники могут имитировать обычные компоненты графического интерфейса операционной системы, чтобы запрашивать у пользователя учетные данные с помощью внешне легитимного запроса. Когда выполняются программы, требующие дополнительных привилегий по сравнению с текущим пользовательским контекстом, операционная система обычно запрашивает у пользователя соответствующие учетные данные для разрешения повышенных привилегий для выполнения задачи (например, Bypass User Account Control).
Злоумышленники могут имитировать эту функциональность, запрашивая у пользователей учетные данные с кажущейся легитимной подсказкой по ряду причин, имитирующих обычное использование, например поддельная программа установки, требующая дополнительного доступа, или поддельный пакет для удаления вредоносного ПО.(Цитата: OSX Malware Exploits MacKeeper) Этот тип запроса может использоваться для сбора учетных данных с помощью различных языков, таких как AppleScript(Цитата: LogRhythm Do You Trust Oct 2014)(Цитата: OSX Keydnap malware)(Цитата: Spoofing credentials) и PowerShell.(Цитата: LogRhythm Do You Trust Oct 2014)(Цитата: Enigma Phishing for Credentials Jan 2015)(Цитата: Spoofing credentials dialogs) В системах Linux злоумышленники могут запускать диалоговые окна, запрашивающие у пользователей учетные данные из вредоносных сценариев оболочки или командной строки (i.Unix Shell).(Цитата: Подделка диалоговых окон с учетными данными)
Злоумышленники также могут имитировать обычные программные запросы на аутентификацию, например, из браузеров или почтовых клиентов.Это также может быть сопряжено с мониторингом активности пользователей (например, Browser Information Discovery и/или Application Window Discovery) для подмены запросов, когда пользователи естественным образом получают доступ к важным сайтам/данным.
https://attack.mitre.org/techniques/T1056/002
Визуализация смежных техник для T1056.002
| № | Техника |
|---|
