译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1125
术语表: /attack/glossary
攻击者可以利用计算机的外围设备(如集成摄像头或网络摄像头)或应用程序(如视频通话服务)捕获视频记录以便收集情报。 还可以从设备或应用程序捕获图像(可能以指定的间隔),从而替代视频文件。 恶意软件或脚本可以通过操作系统或应用程序提供的可用 API 与设备交互,以捕获视频或图像。 视频或图像文件可能被写入磁盘,然后被攻击者窃取。 这种技术不同于屏幕捕获 (Screen Capture),它使用特定的设备或应用程序进行视频录制,而不是捕获受害者的屏幕。 在 macOS 中,有一些不同的恶意软件样本可以监视用户的网络摄像头,比如 FruitFly 和 Proton。
缓解这种技术可能很困难,因为它需要细粒度的 API 控制。 应该集中精力阻止不需要的或未知的代码在系统上执行。 在适当的情况下使用白名单 工具(如 AppLocker, 或软件限制策略 ),识别并阻止可能用于捕获视频和图像的潜在恶意软件。
由于该技术可以使用各种 API,因此可能难以检测。 有关 API 使用的遥测数据可能没用,这取决于系统的正常使用方式,但可能为系统上发生的其他潜在恶意活动提供上下文。 访问与摄像机、记录设备或记录软件交互的设备或软件相关的 API 的未知或异常的进程,以及定期将文件写入包含摄像机或摄像机图像数据的磁盘的进程可以表明该技术的使用。