Техники: T1056 , T1056.001 , T1056.002 , T1056.003 , T1056.004
Злоумышленники могут подключаться к функциям интерфейса прикладного программирования (API) Windows для сбора учетных данных пользователя. Вредоносные механизмы перехвата могут перехватывать вызовы API, содержащие параметры, раскрывающие учетные данные пользователя.(Цитата: Microsoft TrojanSpy:Win32/Ursnif.gen!I Sept 2017) В отличие от Keylogging, эта техника нацелена именно на функции API, содержащие параметры, раскрывающие учетные данные пользователя. Hooking заключается в перенаправлении вызовов этих функций и может быть реализован с помощью:
* **Процедуры-крючки**, которые перехватывают и выполняют определенный код в ответ на такие события, как сообщения, нажатия клавиш и ввод мыши.(Цитата: Microsoft Hook Overview)(Цитата: Elastic Process Injection July 2017)
* **Импортные адресные таблицы (IAT) крючки**, которые используют модификации IAT процесса, где хранятся указатели на импортированные функции API.(Цитата: Elastic Process Injection July 2017)(Цитата: Adlice Software IAT Hooks Oct 2014)(Цитата: MWRInfoSecurity Dynamic Hooking 2015)
* **Inline hooking**, который перезаписывает первые байты в функции API для перенаправления потока кода.(Цитата: Elastic Process Injection July 2017)(Цитата: HighTech Bridge Inline Hooking Sept 2011)(Цитата: MWRInfoSecurity Dynamic Hooking 2015)
https://attack.mitre.org/techniques/T1056/004
Визуализация смежных техник для T1056.004
| № | Техника |
|---|
