PRIVATELOG Malware
PRIVATELOG 恶意软件是 Mandiant 高级实践团队的分析师发现的一种独特威胁。该威胁被确定为一个新的恶意软件家族,其预期用途似乎是作为受感染系统上后期有效负载的传送系统。到目前为止,尚未在实时攻击活动中观察到 PRIVATELOG 及其名为 STASHLOG 的安装程序,这可能表明它们仍在开发中。
PRIVATELOG 利用 CLFS
PRIVTELOG 恶意软件滥用通用日志文件系统 (CLFS) 将预期的下一阶段有效负载隐藏在注册表事务文件中。 CLFS 由 Microsoft 开发并随 Windows Vista 和 Windows Server 2003 R2 引入。它是一个日志框架,为程序提供与创建、存储和读取日志数据相关的 API 功能。 CLFS 文件格式并未被广泛使用,因此,攻击者可以将其损坏的数据隐藏为难以注意到的日志记录。
技术细节
PRIVATELOG 使用代码混淆,这是大多数恶意软件系列中观察到的典型技术,但它引入了取消注释方面。威胁使用 XOR 与硬编码字节内联无循环加密每个字节。实际上,这意味着每个字符串都使用唯一的字节流加密。
在系统上,PRIVATELOG 显示为名为“prntvpt.dll”的未混淆的 64 位 DLL。它试图通过包含类似的导出来模仿合法的“prntvpt.dll”文件,但在文件损坏的情况下,这些导出没有任何功能。
为了加载和执行 DLL 负载,PRIVATELOG 使用了一种很少遇到的涉及 NTFS 事务的技术。本质上,该方法似乎类似于 Phantom DLL 挖空技术。
