译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1123
术语表: /attack/glossary
攻击者可以利用计算机的外围设备(如麦克风和网络摄像头)或应用程序(如语音和视频通话服务)捕获音频记录,以便监听敏感对话从而收集情报。 恶意软件或脚本可以通过操作系统或应用程序提供的可用 API 与设备交互来捕获音频。 音频文件可能被写入磁盘,然后被攻击者窃取。
缓解这种技术可能很困难,因为它需要细粒度的 API 控制。 应该集中精力阻止不需要的或未知的代码在系统上执行。 在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 识别和拦截可能用于录制音频的潜在恶意软件。
由于该技术可以使用各种 API,因此可能难以检测。 有关 API 使用的遥测数据可能没用,这取决于系统的正常使用方式,但可以为系统上发生的其他潜在恶意活动提供上下文。 访问与麦克风、记录设备或记录软件交互的设备或软件相关的 API 的未知或异常的进程,以及定期将文件写入包含音频数据的磁盘的进程可以表明该技术的使用。