Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут регистрировать вредоносные библиотеки динамических ссылок (DLL) сетевых провайдеров для перехвата учетных данных пользователя в открытом виде во время процесса аутентификации. DLL сетевого провайдера позволяют Windows взаимодействовать с определенными сетевыми протоколами, а также могут поддерживать дополнительные функции управления учетными данными.(Цитата: Network Provider API) В процессе входа в систему Winlogon (модуль интерактивного входа в систему) отправляет учетные данные локальному процессу `mpnotify.exe` через RPC.Затем процесс `mpnotify.exe` передает учетные данные в открытом виде зарегистрированным менеджерам учетных данных при уведомлении о событии входа в систему.(Цитата: NPPSPY - Huntress)(Цитата: NPPSPY Video)(Цитата: NPLogonNotify)
Злоумышленники могут настроить вредоносную DLL сетевого провайдера на получение учетных данных от `mpnotify.exe`.(Цитата: NPPSPY) После установки в качестве менеджера учетных данных (через реестр) вредоносная DLL может получать и сохранять учетные данные при каждом входе пользователя на рабочую станцию или в домен Windows с помощью функции `NPLogonNotify()`.(Цитата: NPLogonNotify)
Злоумышленники могут устанавливать вредоносные DLL сетевого провайдера на системы, известные повышенной активностью входа в систему и/или активностью входа администратора, такие как серверы и контроллеры домена.(Цитата: NPPSPY - Huntress)
https://attack.mitre.org/techniques/T1556/008
Визуализация смежных техник для T1556.008
| № | Техника |
|---|
