PRIVATELOG मैलवेयर
PRIVATELOG मैलवेयर मैंडिएंट एडवांस्ड प्रैक्टिस टीम के विश्लेषकों द्वारा खोजा गया एक अनूठा खतरा है। खतरे को एक नए मैलवेयर परिवार के रूप में स्थापित किया गया है और इसका इच्छित उपयोग समझौता किए गए सिस्टम पर बाद के चरण के पेलोड के लिए वितरण प्रणाली के रूप में प्रतीत होता है। अब तक, PRIVATELOG और STASHLOG नाम के इसके इंस्टॉलर को लाइव हमले अभियानों में नहीं देखा गया है, जो यह संकेत दे सकता है कि वे अभी भी विकास में हैं।
PRIVATELOG CLFS का शोषण करता है
PRIVTELOG मालवेयर रजिस्ट्री ट्रांजेक्शन फाइलों में इच्छित अगले चरण के पेलोड को छिपाने के लिए कॉमन लॉग फाइल सिस्टम (CLFS) का दुरुपयोग करता है। CLFS को Microsoft द्वारा विकसित किया गया था और इसे Windows Vista और Windows Server 2003 R2 के साथ पेश किया गया था। यह एक लॉग फ्रेमवर्क है जो लॉग डेटा बनाने, संग्रहीत करने और पढ़ने से संबंधित एपीआई कार्यों के साथ प्रोग्राम प्रदान करता है। CLFS फ़ाइल स्वरूप का व्यापक रूप से उपयोग नहीं किया जाता है और, जैसे, हमलावर अपने दूषित डेटा को लॉग रिकॉर्ड के रूप में छिपा सकते हैं जिसे नोटिस करना कठिन होगा।
तकनीकी जानकारी
PRIVATELOG अधिकांश मैलवेयर परिवारों में देखी जाने वाली एक विशिष्ट तकनीक कोड अस्पष्टता का उपयोग करता है, लेकिन यह एक असम्बद्ध पहलू का परिचय देता है। खतरा बिना लूप के हार्ड-कोडेड बाइट इनलाइन के साथ XOR का उपयोग करके प्रत्येक बाइट को एन्क्रिप्ट करता है। व्यवहार में, इसका मतलब है कि प्रत्येक स्ट्रिंग को एक अद्वितीय बाइट स्ट्रीम के साथ एन्क्रिप्ट किया गया है।
सिस्टम पर, PRIVATELOG 'prntvpt.dll' नामक एक गैर-अस्पष्ट 64-बिट DLL का रूप लेता है। यह समान निर्यातों को शामिल करके वैध 'prntvpt.dll' फ़ाइलों की नकल करने का प्रयास करता है, लेकिन दूषित फ़ाइल के मामले में, इन निर्यातों में कोई कार्यक्षमता नहीं होती है।
DLL पेलोड को लोड और निष्पादित करने के लिए, PRIVATELOG NTFS लेनदेन से जुड़ी एक दुर्लभ तकनीक का उपयोग करता है। संक्षेप में, विधि फैंटम डीएलएल खोखला तकनीक के समान प्रतीत होती है।
