T1056

ضبط ورودی

Input Capture

توضیحات

مهاجمان از روش‌هایی برای ضبط ورودی کاربر استفاده می‌کنند تا اطلاعات اعتباری را به دست آورند، از جمله keylogging و ضبط فرم‌های وب.

زیرتکنیک‌ها (4)

شناسهنام

T1056.001

KeyloggingKeylogging

مهاجمان از keylogger ها برای ضبط کلیدهای فشرده شده توسط کاربر استفاده می‌کنند تا اطلاعات اعتباری و اطلاعات حساس را به دست آورند.

T1056.002

ضبط ورودی GUIGUI Input Capture

مهاجمان از dialog box های جعلی یا overlay ها برای ضبط اطلاعات اعتباری وارد شده توسط کاربر استفاده می‌کنند.

T1056.003

ضبط پورتال وبWeb Portal Capture

مهاجمان صفحات ورود وب را تغییر می‌دهند تا اطلاعات اعتباری وارد شده توسط کاربران را ضبط کنند.

T1056.004

Credential API HookingCredential API Hooking

مهاجمان API های احراز هویت ویندوز را hook می‌کنند تا اطلاعات اعتباری را هنگام استفاده ضبط کنند.

روش‌های شناسایی

نظارت بر نصب driver های کرنل مشکوک. بررسی hook های API. نظارت بر فرآیندهایی که ورودی صفحه‌کلید را رهگیری می‌کنند.

روش‌های مقابله

استفاده از مدیریت رمز عبور. آموزش کاربران برای شناسایی صفحات جعلی. استفاده از احراز هویت چندعاملی.

گروه‌های تهدید (1)

شناسهنام گروه

G0007

APT28 — Fancy Bear

APT28 یک گروه تهدید پیشرفته مرتبط با اطلاعات نظامی روسیه (GRU) است. این گروه از سال ۲۰۰۴ فعال بوده و به حملات علیه سازمان‌های سیاسی، نظامی، رسانه‌ای و سازمان‌های بین‌المللی شناخته می‌شود. دخالت در انتخابات ریاست‌جمهوری آمریکا در ۲۰۱۶ از مشهورترین عملیات این گروه است.

نام‌های دیگر: خرس تزئینی، Sofacy، Pawn Storm