PRIVATELOG Malware

Il PRIVATELOG Malware è una minaccia unica scoperta dagli analisti del team Mandiant Advanced Practices. La minaccia è stabilita come una nuova famiglia di malware e il suo uso previsto sembra essere un sistema di distribuzione per payload di fase successiva sui sistemi compromessi. Finora, PRIVATELOG e il suo installatore denominato STASHLOG non sono stati osservati nelle campagne di attacco dal vivo, il che potrebbe indicare che sono ancora in fase di sviluppo.

PRIVATELOG Exploit CLFS

Il malware PRIVTELOG abusa del Common Log File System (CLFS) per nascondere il payload della fase successiva previsto nei file di transazione del registro. CLFS è stato sviluppato da Microsoft e introdotto con Windows Vista e Windows Server 2003 R2. È un framework di log che fornisce programmi con funzioni API relative alla creazione, memorizzazione e lettura dei dati di log. Il formato di file CLFS non è ampiamente utilizzato e, in quanto tale, gli aggressori possono nascondere i loro dati corrotti come record di registro che saranno difficili da notare.

Dettagli tecnici

PRIVATELOG utilizza l'offuscamento del codice, una tecnica tipica osservata nella maggior parte delle famiglie di malware, ma introduce un aspetto di non commento. La minaccia crittografa ogni byte utilizzando XOR con un byte codificato in linea senza loop. In pratica, ciò significa che ogni stringa è crittografata con un flusso di byte univoco.

Sul sistema, PRIVATELOG assume l'aspetto di una DLL a 64 bit non offuscata denominata 'prntvpt.dll.' Cerca di imitare i file legittimi 'prntvpt.dll' contenendo esportazioni simili ma, nel caso del file danneggiato, queste esportazioni non hanno funzionalità.

Per caricare ed eseguire il payload DLL, PRIVATELOG utilizza una tecnica raramente incontrata che coinvolge le transazioni NTFS. In sostanza, il metodo sembra essere simile alla tecnica di svuotamento Phantom DLL.