PRIVATELOG Malware
PRIVATELOG 惡意軟件是 Mandiant 高級實踐團隊的分析師發現的一種獨特威脅。該威脅被確定為一個新的惡意軟件系列,其預期用途似乎是作為受感染系統上後期有效負載的傳送系統。到目前為止,尚未在實時攻擊活動中觀察到 PRIVATELOG 及其名為 STASHLOG 的安裝程序,這可能表明它們仍在開發中。
PRIVATELOG 利用 CLFS
PRIVTELOG 惡意軟件濫用通用日誌文件系統 (CLFS) 將預期的下一階段有效負載隱藏在註冊表事務文件中。 CLFS 由 Microsoft 開發並隨 Windows Vista 和 Windows Server 2003 R2 引入。它是一個日誌框架,為程序提供與創建、存儲和讀取日誌數據相關的 API 功能。 CLFS 文件格式並未被廣泛使用,因此,攻擊者可以將其損壞的數據隱藏為難以注意到的日誌記錄。
技術細節
PRIVATELOG 使用代碼混淆,這是大多數惡意軟件系列中觀察到的典型技術,但它引入了取消註釋方面。威脅使用 XOR 與硬編碼字節內聯無循環加密每個字節。實際上,這意味著每個字符串都使用唯一的字節流加密。
在系統上,PRIVATELOG 顯示為名為“prntvpt.dll”的未混淆的 64 位 DLL。它試圖通過包含類似的導出來模仿合法的“prntvpt.dll”文件,但在文件損壞的情況下,這些導出沒有任何功能。
為了加載和執行 DLL 負載,PRIVATELOG 使用了一種很少遇到的涉及 NTFS 事務的技術。本質上,該方法似乎類似於 Phantom DLL 挖空技術。
