译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1115
术语表: /attack/glossary
攻击者可以在用户在程序内或程序间复制信息时,收集存储在 Windows 剪贴板中的数据。
应用程序可以使用 Windows API 访问剪贴板数据。
OSX 中,本地命令 pbpaste
用于捕获剪贴板内容 。
识别可能包含该功能的潜在恶意软件,并在适当情况下使用白名单 工具(如 AppLocker、 或的软件限制策略 ) 审计和/或拦截它们,而不是拦截基于捕获剪贴板行为的软件。
Windows 系统中,访问剪贴板是许多应用程序的合法功能。 如果组织选择监视该行为,那么一般需要将数据与其他可疑的或非用户驱动的活动关联。