Threat Database Malware PRIVATELOG Malware

PRIVATELOG Malware

PRIVATELOG Kötü Amaçlı Yazılım, Mandiant Gelişmiş Uygulamalar ekibindeki analistler tarafından keşfedilen benzersiz bir tehdittir. Tehdit, yeni bir kötü amaçlı yazılım ailesi olarak oluşturulmuştur ve amaçlanan kullanımı, güvenliği ihlal edilmiş sistemlerdeki sonraki aşama yükler için bir dağıtım sistemi olarak görünmektedir. Şimdiye kadar PRIVATELOG ve STASHLOG adlı yükleyicisi, canlı saldırı kampanyalarında gözlemlenmedi, bu da hala geliştirme aşamasında olduklarını gösterebilir.

PRIVATELOG CLFS'den Yararlanıyor

PRIVTELOG Kötü Amaçlı Yazılım, Kayıt defteri işlem dosyalarında amaçlanan sonraki aşama yükünü gizlemek için Ortak Günlük Dosya Sistemini (CLFS) kötüye kullanır. CLFS, Microsoft tarafından geliştirildi ve Windows Vista ve Windows Server 2003 R2 ile tanıtıldı. Programlara günlük verilerini oluşturma, depolama ve okuma ile ilgili API işlevleri sağlayan bir günlük çerçevesidir. CLFS dosya formatı yaygın olarak kullanılmamaktadır ve bu nedenle saldırganlar bozuk verilerini fark edilmesi zor olan günlük kayıtları olarak gizleyebilirler.

Teknik detaylar

PRIVATELOG, çoğu kötü amaçlı yazılım ailesinde gözlemlenen tipik bir teknik olan kod gizlemelerini kullanır, ancak bir yorumsuz yönü sunar. Tehdit, döngüler olmadan sabit kodlanmış bir bayt satır içi ile XOR kullanarak her baytı şifreler. Pratikte bu, her dizenin benzersiz bir bayt akışıyla şifrelendiği anlamına gelir.

Sistemde, PRIVATELOG, 'prntvpt.dll' adında, şaşırtılmamış 64-bit DLL'nin görünümünü alır. Benzer dışa aktarımlar içeren meşru 'prntvpt.dll' dosyalarını taklit etmeye çalışır, ancak dosyanın bozuk olması durumunda bu dışa aktarımların hiçbir işlevi yoktur.

DLL yükünü yüklemek ve yürütmek için PRIVATELOG, NTFS işlemlerini içeren nadiren karşılaşılan bir teknik kullanır. Özünde, yöntem Phantom DLL oyuklama tekniğine benzer görünmektedir.

trend

En çok görüntülenen

Yükleniyor...