PRIVATELOG Malware

PRIVATELOG Malware är ett unikt hot som upptäckts av analytikerna på Mandiant Advanced Practices -teamet. Hotet etableras som en ny malware-familj och dess avsedda användning tycks vara ett leveranssystem för nyttolast i senare skede på de komprometterade systemen. Hittills har PRIVATELOG och dess installatör med namnet STASHLOG inte observerats i liveattack -kampanjer, vilket kan indikera att de fortfarande är under utveckling.

PRIVATELOG Utnyttjar CLFS

PRIVTELOG Malware missbrukar Common Log File System (CLFS) för att dölja den avsedda nyttolasten i nästa steg i registertransaktionsfilerna. CLFS utvecklades av Microsoft och introducerades med Windows Vista och Windows Server 2003 R2. Det är en loggram som ger program med API -funktioner relaterade till att skapa, lagra och läsa loggdata. CLFS -filformatet används inte i stor utsträckning och som sådan kan angriparna dölja sina skadade data som loggposter som är svåra att märka.

Tekniska detaljer

PRIVATELOG använder kodförmörkelser, en typisk teknik som observeras i de flesta skadliga familjer, men det introducerar en okommenterad aspekt. Hotet krypterar varje byte med XOR med en hårdkodad byte inline utan slingor. I praktiken betyder detta att varje sträng är krypterad med en unik byte -ström.

På systemet ser PRIVATELOG ut som en obefuskerad 64-bitars DLL med namnet 'prntvpt.dll.' Den försöker imitera de legitima 'prntvpt.dll' -filerna genom att innehålla liknande export, men när det gäller den skadade filen har dessa exporter ingen funktion.

För att ladda och köra DLL -nyttolast använder PRIVATELOG en teknik som sällan förekommer med NTFS -transaktioner. I huvudsak verkar metoden likna Phantom DLL -hålningstekniken.