Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)

Apache License 2.0

20 stars 44 forks source link

[OSW#2: Task-21] AppleScript Display dialog with hidden answer #429

Closed AmwNLTL closed 2 months ago

AmwNLTL commented 2 months ago

Правило детектирует AppleScript скрипт на вызов формы для ввода учетных данных

Resolves #386

aw350m33d commented 2 months ago

@AmwNLTL @Keks1993

А раз тут речь про подозрительную форму аутентификации, может быть тогда разметить это как что-то из cred access?

AmwNLTL commented 2 months ago

Думал добавить в Cred Access - Forced Authentication, но Platforms: Windows в описании техники меня смутило и оставил в Execution. Соглашусь, что уместно переместить в cred access

aw350m33d commented 2 months ago

А вот эта техника не подходит? https://attack.mitre.org/techniques/T1056/002/

AmwNLTL commented 2 months ago

Не заметил, то что надо, спасибо