T1056.004
Credential API Hooking
Credential API Hookingتوضیحات
مهاجمان API های احراز هویت ویندوز را hook میکنند تا اطلاعات اعتباری را هنگام استفاده ضبط کنند.
روشهای شناسایی
نظارت بر hook های API مرتبط با احراز هویت. بررسی تغییرات در DLL های سیستمی.
روشهای مقابله
استفاده از Credential Guard. نظارت بر hook های API.
تکنیک اصلی
T1056Input Capture
ضبط ورودی
مهاجمان از روشهایی برای ضبط ورودی کاربر استفاده میکنند تا اطلاعات اعتباری را به دست آورند، از جمله keylogging و ضبط فرمهای وب.
سایر زیرتکنیکها (3)