Статья Детектирование инфостилеров: IOC, SIEM-правила и реагирование на credential leak

SIEM выплёвывает три алерта подряд - credential stuffing (T1110.004, Credential Access) по корпоративному VPN-шлюзу: 47 попыток аутентификации с 12 IP-адресов за восемь минут, во всех запросах фигурируют валидные логины действующих сотрудников. Пароли не из известных утечек - свежие. Через два часа расследования картина проясняется: учётные данные вытащены из стилер-логов Lumma, которые всплыли на Russian Market за сутки до атаки. По данным IBM X-Force Threat Intelligence Index 2025, инфостилеры - 32% всего обнаруженного вредоносного ПО. Первое место, выше ransomware. Ежедневно в dark web появляется порядка 6 000 свежих учётных записей (оценка IBM). Дальше - практика для SOC: какие IOC искать, какие правила корреляции настроить и что делать, когда credentials уже утекли.

Kill chain инфостилера: от заражения до компрометации учётных данных​

Чтобы понять, на каких этапах ставить detection, разберём бизнес-логику атаки. Финальный импакт - не сам факт кражи паролей, а то, что за ним следует: ransomware-деплой, BEC-мошенничество, эксфильтрация данных через легитимные учётные записи.

Типичная цепочка:

1. Initial Access. Сотрудник на домашнем ноутбуке скачивает «кряк» или кликает ссылку из фишингового письма. CIRCL OSINT отмечает кампании с фейковыми установщиками популярного ПО (поддельные 7-Zip, превращающие ПК в прокси-узлы). Вектор ClickFix с фейковыми CAPTCHA, где жертву просят вставить команду в Run-диалог, - один из самых результативных в 2024-2025. Простой и наглый.
2. Credential Access. Стилер вытаскивает сохранённые пароли из браузеров (T1555.003, Credentials from Web Browsers), перехватывает ввод с клавиатуры (T1056.001, Keylogging), собирает cookie активных сессий, данные криптокошельков и конфигурации VPN-клиентов. Заодно проверяет файлы на диске (T1552.001, Credentials In Files) - конфиги SSH, токены API.
3. Exfiltration. Собранное упаковывается в архив (stealer log) и улетает на C2 (T1041, Exfiltration Over C2 Channel) через HTTP POST, Telegram-бота или облачное хранилище.
4. Монетизация. Логи выставляются на маркетплейсах (Russian Market, 2easy) или в Telegram-каналах. Initial Access Brokers отфильтровывают корпоративные VPN/RDP-креды, проверяют работоспособность и продают доступ операторам ransomware. Среди активных ransomware-групп - Play и Nova, которые, по данным ransomware.live, продолжают публиковать жертв из healthcare, manufacturing и образования.
5. Компрометация организации. Атакующий входит через Valid Accounts (T1078, Initial Access / Persistence / Privilege Escalation) под видом легитимного пользователя. CrowdStrike Global Threat Report 2025 фиксирует: 75% вторжений в 2024 году использовали действительные учётные данные. Окно от появления лога на маркетплейсе до ransomware-деплоя - иногда менее 48 часов.

И вот тут главная боль для SOC: заражение стилером в большинстве случаев происходит на личном устройстве (BYOD). По оценкам ряда вендоров, более 70% заражённых инфостилерами устройств - персональные. EDR на корпоративных хостах не видит момент заражения. Detection смещается на два направления: мониторинг использования украденных credentials и мониторинг появления корпоративных доменов в утечках.

Индикаторы компрометации инфостилеров: что искать на хосте и в сети​

Endpoint-артефакты​

Когда стилер запускается на управляемом хосте, он оставляет характерные следы в Sysmon-телеметрии и EDR.

Доступ к хранилищу браузерных паролей. Chromium-браузеры хранят credentials в SQLite-базе Login Data по путям типа %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data. Стилер копирует этот файл для извлечения паролей. В Sysmon это Event ID 11 (FileCreate) от процесса, который не является браузером, с обращением к путям \User Data\Default\Login Data, \User Data\Default\Cookies, \User Data\Default\Web Data.

ProcessAccess к браузеру. Некоторые стилеры (Vidar, StealC) используют form grabbing - перехват данных при отправке форм. Sysmon Event ID 10 (ProcessAccess) с GrantedAccess = 0x1F0FFF или 0x1010 к процессам chrome.exe, msedge.exe от неизвестного родительского процесса - сильный индикатор.

Характерные файлы. RisePro оставляет passwords.txt. Lumma и StealC формируют архив с типовой структурой: All Passwords.txt, Cookies/, Wallets/, Autofill.txt, System.txt, Screen.png. Мониторинг создания таких файлов - дополнительный сигнал.

LSASS-дамп. Пост-эксплуатация после входа через украденные credentials может включать обращение к LSASS (T1003.001, LSASS Memory). Sysmon Event ID 10 к lsass.exe от процесса не из whitelist - алерт высокого приоритета. Тут не раздумываем - сразу эскалация.

[Применимо: внутренний мониторинг, корпоративные хосты с Sysmon 14+ или EDR-агентом]

Сетевые индикаторы​

DNS к свежим доменам. Стилеры обращаются к свежезарегистрированным доменам или используют DGA. Мониторинг DNS-запросов к доменам возрастом менее 30 дней с высокой энтропией имени - базовый индикатор.

HTTP POST с нетипичным объёмом. Эксфильтрация стилер-лога - отправка архива (1-10 МБ) через POST на внешний IP. Алерт на исходящий POST > 1 МБ к хосту, впервые встречающемуся в baseline сети, - полезный сигнал.

Telegram Bot API. Часть стилеров (Lumma, Vidar) отправляет данные через api.telegram.org/bot<token>/sendDocument. Если корпоративная политика не предусматривает использование Telegram API с рабочих станций - прямой IOC.

[Ограничение: сетевые индикаторы работают при наличии TLS-инспекции или NDR-решения. Без расшифровки HTTPS видны только SNI и DNS - а это далеко не всегда достаточно.]

SIEM-правила для детектирования инфостилеров​

Sigma-правило: доступ к хранилищу паролей браузера​

Требования к окружению: Sysmon 14+ с конфигурацией, включающей FileCreate (Event ID 11) и ProcessAccess (Event ID 10); Sigma CLI для конверсии правил; SIEM с подключённым источником Sysmon-логов (RAM от 4 ГБ для рабочей станции агента, от 16 ГБ для SIEM-сервера).

Sigma - кросс-SIEM формат, конвертируемый в запросы для Elastic, Splunk, MaxPatrol SIEM. Правило ниже ловит подозрительный доступ к файлам браузерных Credentials from Password Stores: Credentials from Web Browsers (T1555.003):

title: Suspicious Access to Browser Credential Store
status: experimental
logsource:
  product: windows
  category: file_access
detection:
  selection:
    TargetFilename|contains:
      - '\User Data\Default\Login Data'
      - '\User Data\Default\Cookies'
      - '\User Data\Default\Web Data'
  filter:
    Image|endswith:
      - '\chrome.exe'
      - '\msedge.exe'
      - '\brave.exe'
  condition: selection and not filter
level: high

Правило срабатывает, когда файл с credentials или cookie браузера открывается процессом, не являющимся самим браузером. На практике расширьте whitelist: добавьте корпоративный backup-агент (если он бэкапит профили) и процесс обновления браузера. Без этого на первой неделе утонете в false positive.

Вендор-специфика: Elastic SIEM 8.x и Splunk​

Elastic SIEM 8.x+ содержит встроенный набор detection rules для credential theft, включая правило Credential Access via Browser Credential Store. Sigma конвертируется через sigma-cli в EQL. Включите модуль file в Elastic Agent и настройте аудит путей профилей Chrome и Firefox - без этого правило слепое.

Splunk Enterprise Security - Sigma конвертируется в SPL через sigma-cli -t splunk. Для обнаружения аномальной эксфильтрации полезен дополнительный поиск по Sysmon Event ID 3 (NetworkConnect):

index=sysmon EventCode=3
  NOT dest_host IN ("*.microsoft.com","*.google.com")
| stats count by Image DestinationIp DestinationPort
| where count < 3

Запрос выделяет процессы с единичными исходящими соединениями к нетипичным хостам - стилеры создают редкие подключения к C2, которые выделяются на фоне baseline. Идея простая: если процесс ходит на один IP один-два раза и больше никуда - это подозрительно.

MaxPatrol SIEM - Sigma-правила конвертируются через sigma-to-maxpatrol (проверяйте актуальность утилиты в документации Positive Technologies). Нормализация событий в MaxPatrol отличается от Elastic и Splunk, поэтому после конверсии обязательна валидация правила на тестовом инциденте. Я видел случаи, когда поля маппились криво и правило молча пропускало всё подряд.

[Ограничение: правила для file_access требуют включённого аудита файловой системы. Без настроенного Sysmon с FileCreate правило не сработает - и вы об этом даже не узнаете.]

Мониторинг утечек паролей и dark web​

Detection на эндпоинте работает только для управляемых устройств. Для BYOD-сценария (46% по Verizon DBIR, свыше 70% по Check Point) единственный способ обнаружения - мониторинг утечек.

Have I Been Pwned API позволяет проверять корпоративные домены на появление в утечках. Для масштабного мониторинга доступна подписка с domain search API. Операция Endgame (май 2024) - пример совместных действий правоохранительных органов: ликвидация серии ботнетов привела к загрузке 16,4 млн скомпрометированных записей в HIBP.

Мониторинг Telegram-каналов. Стилер-логи активно распространяются через публичные и приватные каналы. Операторы выкладывают бесплатные сэмплы для привлечения покупателей. Парсинг через Telegram API (бот с поиском по доменной части email) - метод, который я использую в нескольких текущих проектах. Скрипт на Python с библиотекой telethon ищет упоминания корпоративного домена и отправляет алерт в SOC-чат. Задержка между появлением лога и алертом - от 5 до 30 минут. Дёшево и сердито.

Коммерческие платформы. Hudson Rock, SpyCloud, Flare, F6 обеспечивают автоматический мониторинг появления корпоративных credentials в стилер-логах с привязкой к семейству малвари и дате заражения. Для субъектов КИИ такой мониторинг помогает выполнять обязанности по ст. 5 ФЗ-187: взаимодействие с ГосСОПКА требует уведомления о компьютерном инциденте в сроки от 3 до 24 часов в зависимости от категории объекта.

Проактивная проверка маркетплейсов. Площадки типа Russian Market позволяют поиск по домену. Еженедельная проверка корпоративного домена - минимальная гигиена. Обнаружение лога не означает, что атака уже произошла, но означает одно: credentials скомпрометированы и могут быть использованы в течение часов.

Credential leak реагирование: playbook от обнаружения до закрытия​

Когда корпоративные credentials обнаружены в стилер-логе или сработал алерт на credential stuffing:

Шаг 1. Подтверждение (0-30 минут). Проверить валидность данных из лога. Сопоставить username с Active Directory: учётная запись активна? Когда последний раз менялся пароль? Если пароль совпадает с текущим - немедленный переход к шагу 2. Не ждём, не «мониторим ситуацию».

Шаг 2. Containment (30-60 минут). Принудительный сброс пароля. Отзыв всех активных сессий: OAuth-токены, cookie в корпоративных SaaS. Отключение VPN-доступа для затронутых аккаунтов. Если стилер-лог содержит cookie SSO-сервиса - сбросить сессии на уровне IdP (Azure AD, Keycloak, Okta). Cookie theft - это отдельная головная боль: пароль сменили, а сессия по cookie живёт дальше.

Шаг 3. Scope assessment (1-4 часа). Определить масштаб: какие сервисы доступны по скомпрометированным credentials. Проверить журналы аутентификации за период от даты заражения (из лога) до момента обнаружения. Искать аномалии: вход из нетипичной геолокации, одновременные сессии из разных стран, доступ к непрофильным ресурсам.

Шаг 4. Источник заражения. Если в стилер-логе есть System.txt с hostname и IP - определить: корпоративное устройство или личное. Для корпоративного - запросить EDR-телеметрию за дату заражения. Для личного (BYOD) - уведомить сотрудника, рекомендовать полную переустановку ОС. Да, именно переустановку. Чистка антивирусом тут не поможет.

Шаг 5. Уведомление. Для субъектов КИИ - уведомление НКЦКИ (ГосСОПКА) в сроки ФЗ-187 (3-24 часа). При компрометации персональных данных клиентов - оценка необходимости уведомления по ФЗ-152. С учётом оборотных штрафов за утечки ПДн скорость реакции напрямую влияет на финансовые последствия.

Шаг 6. Hardening (1-7 дней). Анализ scope показывает, какие меры не сработали. Типичные действия: внедрение FIDO2/passkey для критических сервисов (TOTP не защищает от кражи cookie - AitM-атаки обходят его), настройка conditional access с привязкой сессии к device fingerprint, запрет синхронизации паролей в браузерах через GPO.

Чеклист: обнаружение кражи учётных данных и защита от инфостилеров​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Заключение​

Большинство SOC-команд, с которыми приходилось работать, закрывают детектирование инфостилеров пунктами 1-3 из этого чеклиста: Sysmon-алерты, сигнатуры EDR, песочница на периметре. И пропускают большинство реальных компрометаций - потому что заражение произошло на домашнем ноутбуке сотрудника, который скачал «активатор Office». Пункты 7-8 - мониторинг утечек - внедрены у единиц, хотя именно они дают опережающий сигнал: credentials появляются в логах за часы или дни до попытки входа. Разрыв между endpoint detection и identity monitoring - главная слепая зона SOC прямо сейчас. Вся индустрия годами учит строить detection на хосте, а credential layer уже определяет, кто попадёт под ransomware. Те, кто переключил фокус с «где малварь запустился» на «где credentials используются», ловят инциденты до их реализации. Остальные - читают postmortem. По свежим инцидентам с инфостилерами на codeby.net идёт тред, где коллеги разбирают кейсы от обнаружения лога до полного containment - если строите или обновляете свой IR-playbook, есть смысл сверить подход.