PRIVATELOG Malware

Złośliwe oprogramowanie PRIVATELOG jest unikalnym zagrożeniem odkrytym przez analityków z zespołu Mandiant Advanced Practices. Zagrożenie zostało ustanowione jako nowa rodzina złośliwego oprogramowania, a jego przeznaczeniem wydaje się być system dostarczania ładunków na późniejszym etapie w zaatakowanych systemach. Jak dotąd PRIVATELOG i jego instalator o nazwie STASHLOG nie zostały zaobserwowane w kampaniach ataków na żywo, co może wskazywać, że są one nadal w fazie rozwoju.

PRIVATELOG wykorzystuje CLFS

Złośliwe oprogramowanie PRIVTELOG wykorzystuje Common Log File System (CLFS), aby ukryć zamierzony ładunek następnego etapu w plikach transakcji rejestru. CLFS został opracowany przez firmę Microsoft i wprowadzony w systemach Windows Vista i Windows Server 2003 R2. Jest to struktura logów, która zapewnia programom funkcje API związane z tworzeniem, przechowywaniem i odczytywaniem danych logów. Format pliku CLFS nie jest powszechnie używany i dlatego osoby atakujące mogą ukryć swoje uszkodzone dane jako zapisy dziennika, które trudno będzie zauważyć.

Szczegóły techniczne

PRIVATELOG wykorzystuje zaciemnianie kodu, typową technikę obserwowaną w większości rodzin złośliwego oprogramowania, ale wprowadza aspekt odkomentowania. Zagrożenie szyfruje każdy bajt przy użyciu XOR z zakodowanym na stałe bajtem bez pętli. W praktyce oznacza to, że każdy ciąg jest szyfrowany unikalnym strumieniem bajtów.

W systemie PRIVATELOG przybiera postać niezaciemnionej 64-bitowej biblioteki DLL o nazwie „prntvpt.dll”. Próbuje imitować legalne pliki 'prntvpt.dll', zawierając podobne eksporty, ale w przypadku uszkodzonego pliku te eksporty nie mają żadnej funkcjonalności.

Aby załadować i wykonać ładunek DLL, PRIVATELOG wykorzystuje rzadko spotykaną technikę obejmującą transakcje NTFS. Zasadniczo metoda wydaje się być podobna do techniki drążenia Phantom DLL.