PRIVATELOG Malware

PRIVATELOG Malware er en unik trussel opdaget af analytikerne på Mandiant Advanced Practices -teamet. Truslen er etableret som en ny malware-familie, og den tilsigtede brug ser ud til at være som et leveringssystem til senere belastninger på de kompromitterede systemer. Indtil videre er PRIVATELOG og dets installatør ved navn STASHLOG ikke blevet observeret i live angrebskampagner, hvilket kan indikere, at de stadig er under udvikling.

PRIVATELOG Udnytter CLFS

PRIVTELOG Malware misbruger Common Log File System (CLFS) til at skjule den påtænkte næste trin nyttelast i registrerings transaktionsfilerne. CLFS blev udviklet af Microsoft og introduceret med Windows Vista og Windows Server 2003 R2. Det er en log -ramme, der giver programmer API -funktioner i forbindelse med oprettelse, lagring og læsning af logdata. CLFS -filformatet er ikke meget udbredt, og som sådan kan angriberne skjule deres beskadigede data som logposter, der vil være svære at lægge mærke til.

Tekniske detaljer

PRIVATELOG anvender kode -obfuscations, en typisk teknik, der observeres i de fleste malware -familier, men det introducerer et aspekt uden kommentarer. Truslen krypterer hver byte ved hjælp af XOR med en hardkodet byte inline uden sløjfer. I praksis betyder det, at hver streng er krypteret med en unik byte -strøm.

På systemet ser PRIVATELOG ud som en ikke-tilsløret 64-bit DLL med navnet 'prntvpt.dll.' Det forsøger at efterligne de legitime 'prntvpt.dll' -filer ved at indeholde lignende eksport, men i tilfælde af den beskadigede fil har disse eksport ingen funktionalitet.

For at indlæse og eksekvere DLL nyttelast anvender PRIVATELOG en teknik, der sjældent findes, der involverer NTFS -transaktioner. I det væsentlige ser metoden ud til at ligne Phantom DLL -hulningsteknikken.