PRIVATELOG Malware

De PRIVATELOG Malware is een unieke bedreiging die is ontdekt door de analisten van het Mandiant Advanced Practices-team. De dreiging is gevestigd als een nieuwe malwarefamilie en het beoogde gebruik ervan lijkt te zijn als een leveringssysteem voor latere payloads op de gecompromitteerde systemen. Tot nu toe zijn PRIVATELOG en zijn installatieprogramma genaamd STASHLOG niet waargenomen in live aanvalscampagnes, wat erop zou kunnen wijzen dat ze nog in ontwikkeling zijn.

PRIVATELOG maakt misbruik van CLFS

De PRIVTELOG-malware maakt misbruik van het Common Log File System (CLFS) om de beoogde payload in de volgende fase in de transactiebestanden van het register te verbergen. CLFS is ontwikkeld door Microsoft en geïntroduceerd met Windows Vista en Windows Server 2003 R2. Het is een log-framework dat programma's API-functies biedt met betrekking tot het maken, opslaan en lezen van loggegevens. Het CLFS-bestandsformaat wordt niet veel gebruikt en als zodanig kunnen de aanvallers hun beschadigde gegevens verbergen als logrecords die moeilijk op te merken zijn.

Technische details

PRIVATELOG maakt gebruik van code-obfuscations, een typische techniek die wordt waargenomen in de meeste malwarefamilies, maar het introduceert een uncomment-aspect. De dreiging versleutelt elke byte met behulp van XOR met een hardgecodeerde byte inline zonder lussen. In de praktijk betekent dit dat elke string is versleuteld met een unieke bytestream.

Op het systeem ziet PRIVATELOG eruit als een niet-verduisterde 64-bits DLL met de naam 'prntvpt.dll'. Het probeert de legitieme 'prntvpt.dll'-bestanden te imiteren door vergelijkbare exports te bevatten, maar in het geval van het beschadigde bestand hebben deze exports geen functionaliteit.

Om de DLL-payload te laden en uit te voeren, gebruikt PRIVATELOG een zelden voorkomende techniek waarbij NTFS-transacties betrokken zijn. In wezen lijkt de methode vergelijkbaar met de Phantom DLL-uithollingstechniek.