Naukowcy zajmujący się cyberbezpieczeństwem ujawnili szczegóły dotyczące nowej rodziny złośliwego oprogramowania. Wykorzystuje Common Log File System (CLFS) do ukrywania ładunku drugiego stopnia w plikach transakcji rejestru. Próbując w ten sposób uniknąć mechanizmów wykrywania.
Zespół Mandiant Advanced Practices firmy FireEye, który dokonał odkrycia, nazwał złośliwe oprogramowanie PRIVATELOG, a jego instalator – STASHLOG. Szczegóły dotyczące tożsamości sprawców zagrożenia lub ich motywów pozostają niejasne.
Chociaż złośliwe oprogramowanie nie zostało jeszcze wykryte w rzeczywistych atakach na środowiska klientów ani nie zauważono, że uruchamia ono ładunki drugiego stopnia, Mandiant podejrzewa, że PRIVATELOG może być nadal w fazie rozwoju, być dziełem badacza lub zostać wdrożony jako część wysoce ukierunkowanego działania.
Charakterystyka CLFS
CLFS to podsystem logowania ogólnego przeznaczenia w systemie Windows. Dostępny jest zarówno dla aplikacji w trybie jądra, jak i w trybie użytkownika. Dla systemów baz danych, systemów OLTP, klienckich komunikatorów i systemów zarządzania zdarzeniami sieciowymi. Służy do tworzenia i udostępniania wysokowydajnych dzienników transakcji.
“Ponieważ format pliku nie jest powszechnie używany ani udokumentowany, nie ma dostępnych narzędzi, które potrafią wyświetlać pliki logów CLFS” – wyjaśniają badacze z firmy Mandiant w opublikowanym w tym tygodniu opracowaniu. “Daje to atakującym możliwość wygodnego ukrycia swoich danych jako zapisów logów, ponieważ są one dostępne poprzez funkcje API”.
PRIVATELOG i STASHLOG
PRIVATELOG i STASHLOG dysponują funkcjami, które pozwalają złośliwemu oprogramowaniu pozostawać na zainfekowanych urządzeniach i unikać wykrycia. Wykorzystują do tego zaciemnione łańcuchy i techniki przepływu sterowania. Zaprojektowane są tak, aby analiza statyczna była uciążliwa. Co więcej, instalator STASHLOG przyjmuje jako argument payload następnego etapu, którego zawartość jest następnie umieszczana w określonym pliku dziennika CLFS.
Z kolei PRIVATELOG, stworzony jako niezaciemniona 64-bitowa biblioteka DLL o nazwie “prntvpt.dll”. Wykorzystuje technikę zwaną DLL search order hijacking w celu załadowania złośliwej biblioteki. W momencie wywołania przez program ofiary, w tym przypadku usługę o nazwie “PrintNotify”.
“Podobnie jak STASHLOG, PRIVATELOG zaczyna od wyliczenia plików *.BLF w katalogu profilu domyślnego użytkownika i wykorzystuje plik .BLF z najstarszym znacznikiem czasu daty utworzenia” – zauważają badacze, zanim użyje go do odszyfrowania i zapisania payloadu drugiego stopnia.
Mandiant zaleca, aby organizacje stosowały reguły YARA do skanowania sieci wewnętrznych w poszukiwaniu oznak złośliwego oprogramowania. Oraz na zwracanie uwagi na potencjalne wskaźniki włamania (Indicators of Compromise – IoC) w zdarzeniach typu “process”, “imageload” lub “filewrite” związanych z logami systemu wykrywania i reagowania na punkty końcowe (EDR).
Źródło: https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html