PRIVATELOG Malware

O PRIVATELOG Malware é uma ameaça única, descoberta pelos analistas da equipe de Práticas Avançadas da Mandiant. A ameaça é estabelecida como uma nova família de malware e seu uso pretendido parece ser como um sistema de entrega para cargas úteis de estágio posterior nos sistemas comprometidos. Até agora, o PRIVATELOG e seu instalador denominado STASHLOG não foram observados em campanhas de ataque ao vivo, o que pode indicar que eles ainda estão em desenvolvimento.

PRIVATELOG Exploits CLFS

O PRIVTELOG Malware abusa do Common Log File System (CLFS) para ocultar a carga útil do próximo estágio pretendida nos arquivos de transação do Registro. CLFS foi desenvolvido pela Microsoft e introduzido com o Windows Vista e Windows Server 2003 R2. É uma estrutura de log que fornece programas com funções API relacionadas à criação, armazenamento e leitura de dados de log. O formato de arquivo CLFS não é amplamente utilizado e, como tal, os invasores podem ocultar seus dados corrompidos como Registros de log que serão difíceis de notar.

Detalhes Técnicos

 PRIVATELOG usa ofuscações de código, uma técnica típica observada na maioria das famílias de malware, mas apresenta um aspecto de descomentar. A ameaça criptografa cada byte usando XOR com um byte embutido em linha sem loops. Na prática, isso significa que cada string é criptografada com um fluxo de bytes exclusivo.

No sistema, o PRIVATELOG assume a aparência de uma DLL de 64 bits não ofuscada chamada 'prntvpt.dll'. Ele tenta imitar os arquivos legítimos 'prntvpt.dll' contendo exportações semelhantes, mas, no caso do arquivo corrompido, essas exportações não têm funcionalidade.

Para carregar e executar a carga útil DLL, o PRIVATELOG emprega uma técnica raramente encontrada envolvendo transações NTFS. Em essência, o método parece ser semelhante à técnica de esvaziamento Phantom DLL.