跳转至

T1560-001-win-通过winrar压缩数据

来自ATT&CK的描述

攻击者可能会记录用户的键盘输入,以便在用户输入凭证时窃取。当操作系统凭证转储无效时,键盘记录很可能被用来获取新的访问机会,并可能要求攻击者在成功获取凭证之前,在系统上截取键盘输入很长一段时间。 键盘记录是最普遍的输入捕捉类型,有许多不同的截获键盘输入的方法。

钩住用于处理击键的API回调。与凭证API钩住不同,这只关注用于处理击键数据的API函数。 - 从硬件缓冲区读取原始击键数据。 - Windows注册表的修改。 - 自定义驱动程序。 - 修改系统镜像可能为攻击者提供网络设备操作系统的钩子,以读取登录会话的原始击键。

测试案例

测试1 Input Capture

利用PowerShell和外部资源来捕获击键信息 。

PowerSploit提供的有效载荷:https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1056.001/src/Get-Keystrokes.ps1

成功执行后,Powershell将执行Get-Keystrokes.ps1并输出到key.log中。

攻击命令,用powerhell运行,需要提升权限(如root或admin):

Set-Location $PathToAtomicsFolder
.\T1056.001\src\Get-Keystrokes.ps1 -LogPath #{filepath}

清理命令:

Remove-Item $env:TEMP\key.log -ErrorAction Ignore

检测日志

测试复现

未在Windows server 2019上测试成功

测试留痕

检测规则/思路

建议

键盘记录器可能有多种形式,可能涉及修改注册表和安装驱动程序,设置钩子,或轮询以拦截击键。常用的API调用包括SetWindowsHook、GetKeyState和GetAsyncKeyState。监控注册表和文件系统的此类变化,监控驱动程序的安装,并寻找常见的键盘记录API调用。单独的API调用不是键盘记录的指标,但可能提供行为数据,当与其他信息(如写入磁盘的新文件和不寻常的进程)相结合时,这些数据是有用的。

参考推荐

MITRE-ATT&CK-T1056-001

https://attack.mitre.org/techniques/T1056/001/

Atomic-red-team-T1056.001

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1056.001/T1056.001.md

Payload

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-Keystrokes.ps1