ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1056

术语表: /attack/glossary

输入捕获

攻击者可以使用捕获用户输入的方法来获取有效帐户的凭据和收集信息,包括键盘记录和用户输入字段拦截。 键盘记录是最常见的输入捕获类型,有许多不同的方法来拦截击键、 但也有针对特定的目的来获取信息的其他方法,例如执行 UAC 提示或包装 Windows 默认凭据提供程序。­ 当凭据转储(Credential Dumping)无效时,可能会使用键盘记录、 (Keylogging)来获取新访问的凭据,并且可能需要攻击者在机会出现之前在系统上保持一段时间的被动。 攻击者还可以在外部门户(例如 VPN 登录页面)上安装代码,以捕获和传输试图登录到服务的用户的凭据。这种输入捕获上的变体可以在攻击后进行,使用合法的管理访问权作为备份措施来维护通过外部远程服务(External Remote Services)和有效帐户(Valid Accounts)的网络访问,或者通过利用外部 web 服务作为初始攻击的一部分。

缓解

使用白名单 工具,如 AppLocker, 或软件限制策略 ,识别和拦截可能用于从用户处获取凭据或信息的潜在恶意软件。 在难以检测或减轻的该行为情况下,可以努力降低攻击者获取凭据信息可能造成的影响。也可以遵循针对攻击者使用有效账户 (Valid Accounts) 的缓解建议。­

检测

键盘记录器具有多种形式,可能包括修改注册表和安装驱动程序、设置钩子或轮询来拦截击键。常用的 API 调用包括 SetWindowsHook、GetKeyState 和 GetAsyncKeyState。 监控注册表和文件系统的这些变化,检测驱动程序的安装,以及查找常见的键盘记录 API 的调用。API 调用本身并不是键盘记录的指示器,但是可以提供行为数据,当与如写入磁盘的新文件和异常进程等其他信息结合时,这些数据是有用的。 监视注册表以添加自定义凭据提供程序(Custom Credential Provider)。 如果使用了新技术,检测攻击者使用的被盗取的有效账户可能有助于获取拦截用户输入的结果。