Táto nová rodina škodlivého softvéru používa protokolové súbory CLFS, aby sa zabránilo detekcii

Výskumníci v oblasti kybernetickej bezpečnosti zverejnili podrobnosti o novej rodine škodlivého softvéru, ktorý sa spolieha na Common Log File System (CLFS) na ukrytie druhej fázy dát v súboroch transakcií registra v snahe vyhnúť sa detekčným mechanizmom.

Tím FireEye Mandiant Advanced Practices, ktorý objavil tento objav, nazval malvér PRIVATELOGa jeho inštalatér, STASHLOG. Špecifiká o identite aktéra hrozby alebo o ich motívoch zostávajú nejasné.

Hoci malvér ešte nie je možné odhaliť v skutočných útokoch zameraných na zákaznícke prostredia alebo ho spozorovať pri spúšťaní akejkoľvek druhej fázy užitočného zaťaženia, Mandiant má podozrenie, že PRIVATELOG by mohol byť stále vo vývoji, na práci výskumníka alebo nasadený ako súčasť vysoko cielená činnosť.

CLFS je univerzálny prihlasovací subsystém Windows ktorý je dostupný pre aplikácie v režime jadra, ako aj pre aplikácie v režime používateľa, ako sú databázové systémy, systémy OLTP, klienti na odosielanie správ a systémy správy sieťových udalostí na vytváranie a zdieľanie vysokovýkonných protokolov transakcií.

„Pretože formát súboru nie je široko používaný ani zdokumentovaný, neexistujú žiadne dostupné nástroje, ktoré by dokázali analyzovať protokolové súbory CLFS,“ vysvetlili výskumníci z Mandiantu v správe zverejnenej tento týždeň. “To poskytuje útočníkom príležitosť skryť svoje údaje ako záznamy denníka pohodlným spôsobom, pretože sú prístupné prostredníctvom funkcií API.”

PRIVATELOG a STASHLOG prichádzajú s funkciami, ktoré umožňujú škodlivému softvéru zotrvať na infikovaných zariadeniach a vyhýbať sa detekcii, vrátane použitia nejasných reťazcov a techník riadenia toku, ktoré sú výslovne navrhnuté tak, aby bola statická analýza ťažkopádna. A čo viac, inštalačný program STASHLOG akceptuje užitočné zaťaženie ďalšej fázy ako argument, ktorého obsah je následne uložený v špecifickom protokolovom súbore CLFS.

PRIVATELOG, vytvorený ako neprehľadná 64-bitová knižnica DLL s názvom „prntvpt.dll“, na rozdiel od toho využíva techniku ​​​​nazvanú ukradnutie príkazu vyhľadávania DLL, aby načítala škodlivú knižnicu, keď ju zavolá program obete, v tomto prípade službu s názvom „PrintNotify“.

“Podobne ako STASHLOG, PRIVATELOG začína vymenovaním súborov *.BLF v predvolenom adresári profilu používateľa a používa súbor .BLF s najstaršou časovou pečiatkou dátumu vytvorenia,” poznamenali výskumníci predtým, ako ho použili na dešifrovanie a uloženie užitočného obsahu druhej fázy.

Mandiant odporúča, aby organizácie uplatňovali pravidlá YARA na skenovanie interných sietí na známky škodlivého softvéru a dávali si pozor na potenciálne indikátory kompromisu (IoC) v udalostiach „procesu“, „zaťaženia obrazu“ alebo „zápisu súborov“ spojených so systémovými protokolmi detekcie a odozvy koncových bodov (EDR). .