T1123-win-音频收集
来自ATT&CK的描述
攻击者可以利用计算机的外围设备(例如,麦克风和网络摄像头)或应用程序(例如,语音和视频呼叫服务)来捕获音频记录,以便侦听敏感的对话以收集信息。
恶意软件或脚本可能用于通过操作系统或应用程序提供的可用API与设备进行交互以捕获音频。音频文件可能会写入磁盘并在以后被泄漏。
测试案例
soundrec可以通过开发板采集声音,并通过电脑端显示波形,适用于 5402 dsp开发板。
检测日志
Windows安全日志、sysmon日志
测试复现
暂无
测试留痕
暂无
检测规则/思路
splunk规则
由于可能会使用各种API,因此很难检测到此技术。取决于正常使用系统的方式,有关API使用的遥测数据可能没有用,但可以为发生在系统上的其他潜在恶意活动提供上下文。
可能指示技术使用的行为包括未知或异常的进程访问与与麦克风,录音设备或录音软件交互的设备或软件相关联的API,以及周期性地将包含音频数据的文件写入磁盘的进程。
“index=windows SourceName=””Microsoft-Windows-PowerShell”” “”*WindowsAudioDevice-Powershell-Cmdlet*”” //use voice cmdlet in powershell index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 Image=””*\\explorer.exe”” CommandLine=””*WindowsSoundRecorder*””) OR (EventCode=1 Image=””*\\soundrec.exe””) // soundrecorder started with this command:explorer.exe shell:appsFolder\Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe!App
index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 CommandLine=””*/DURATION*””) OR (EventCode=1 CommandLine=””*/FILE*””) // check all commandlines that used /DURATION and /FILE as a output file in it”
建议
如果你对windows以及powershell比较了解的话,你可以使用Windows日志来完成监视检测,当然最好的方法是使用sysmon日志。
参考推荐
MITRE-ATT&CK-T1123