Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Input Capture: Web Portal Capture

Other sub-techniques of Input Capture (4)

ID	Name
.001	Keylogging
.002	GUI Input Capture
.003	Web Portal Capture
.004	Credential API Hooking

Adversaries may install code on externally facing portals, such as a VPN login page, to capture and transmit credentials of users who attempt to log into the service. For example, a compromised login page may log provided user credentials before logging the user in to the service. This variation on input capture may be conducted post-compromise using legitimate administrative access as a backup measure to maintain network access through External Remote Services and Valid Accounts or as part of the initial compromise by exploitation of the externally facing web service.(Citation: Volexity Virtual Private Keylogging)

ID: T1056.003

Sub-technique of: T1056

Tactic(s): Collection, Credential Access

Platforms: Linux, macOS, Windows

Data Sources: File: File Modification

Version: 1.0

Created: 11 Feb 2020

Last Modified: 24 Mar 2020

Name	Description
Procedure Examples
IceApple	The IceApple OWA credential logger can monitor for OWA authentication requests and log the credentials.(Citation: CrowdStrike IceApple May 2022)

Mitigation	Description
Mitigations
Privileged Account Management	Manage the creation, modification, use, and permissions associated to privileged accounts, including SYSTEM and root.

Detection

File monitoring may be used to detect changes to files in the Web directory for organization login pages that do not match with authorized updates to the Web server's content.

References

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за возможности установки веб-оболочки (Web Shell) в веб-сервере Повышение привилегий НСД
Раскрытие ключей (паролей) доступа из-за возможности внедрения кода в текст программы на интерпретируемом языке в веб-сайте Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Закрепление злоумышленника в ОС из-за возможности внедрения кода в текст программы на интерпретируемом языке в веб-сайте Повышение привилегий НСД

Каталоги

БДУ ФСТЭК:

УБИ.006 Угроза внедрения кода или данных

Угроза заключается в возможности внедрения нарушителем в дискредитируемую информационную систему или IoT-устройство вредоносного...

Техники ATT&CK:

T1505.003 Server Software Component: Web Shell

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.