بدافزار PRIVATELOG و استفاده از لاگ فایل های CLFS برای شناسایی نشدن
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیت سایبری جزئیات مربوط به یک دسته بدافزار جدید را فاش کرده اند که با تکیه بر سیستم لاگ فایل مشترک (CLFS)، second-stage payload در را در فایل های تبادل و تراکنش رجیستری پنهان میکند تا از مکانیسم های شناسایی پنهان و مصون بماند.
تیم FireEye's Mandiant Advanced Practices، که اقدام به افشای این مهم کرده اند، نام بدافزار آنرا PRIVATELOG و همچنین نام نصب کننده آنرا STASHLOG اعلام نموده اند. هنوز جزئیاتی در مورد هویت عامل تهدید کننده یا انگیزه آنها مشخص نیست.
به نقل از هکر نیوز، اگرچه هنوز فعالیتی از این بدافزار در حملات دنیای واقعی که محیط های کاربری را هدف قرار بدهد یا در حال اجرای payload های second-stage باشد، شناسایی نشده است، اما Mandiant به این مورد شک دارد که PRIVATELOG هنوز در حال توسعه است، یک کار تحقیقاتی است، یا به عنوان بخشی از هدفگیری فعالیت ها و اهداف مهم مورد استفاده قرار می گیرد.
سیستم لاگ فایل مشترک یا CLFS یک سابسیستم لاگینگ عمومی در ویندوز است که هم برای کرنل مود و هم برای برنامه های یوزر مود مانند سیستم های پایگاه داده، سیستم های OLTP، کلاینت های مسیجینگ و سیستم های مدیریت رویداد شبکه برای ایجاد و به اشتراک گذاری لاگ های تراکنش با عملکرد بالا قابل دسترسی است.
محققان Mandiant در مقاله ای که در هفته جاری منتشر شد، توضیح دادند: "از آنجا که فرمت فایل به طور گسترده مورد استفاده قرار نمی گیرد یا مستند نمیشود، هیچ ابزاری در دسترس وجود ندارد که بتواند فایل های لاگ CLFS را تجزیه کند. این مسئله به مهاجمان این فرصت را می دهد تا داده های خود را به عنوان یک لاگ رکورد به شیوه ای مناسب پنهان کنند؛ زیرا این اطلاعات از طریق عملگرهای API قابل دسترسی هستند".
بدافزار PRIVATELOG و اینستالر STASHLOG دارای قابلیت هایی هستند که به نرم افزارهای مخرب اجازه می دهد تا بر روی دستگاه های آلوده باقی مانده و از امکان شناسایی در امان بمانند، از جمله استفاده از استرینگ های مبهم و تکنیک های کنترل جریان که به طور واضح برای تجزیه و تحلیل استاتیک طراحی شده اند. علاوه بر این، نصب کننده STASHLOG نیز next-stage payload را که محتویات آن متعاقباً در یک فایل گزارش CLFS خاص ذخیره می شود، به عنوان یک استدلال می پذیرد.
در مقابل PRIVATELOG به عنوان یک DLL 64 بیتی بدون ابهام با نام "prntvpt.dll" طراحی شده است، اما از تکنیکی به نام "سرقت دستور جستجوی DLL" استفاده می کند تا لایبرری مخرب خود را هنگامی که برنامه توسط قربانی فراخوانده میشود، اجرا نماید. در این مورد، از این سرویس با نام "PrintNotify" یاد شده است.
محققان قبل از استفاده از آن برای رمزگشایی و ذخیره second-stage payload یادآور شده اند که: "مانند STASHLOG ،PRIVATELOG با شمارش فایل های با پسوند BLF در دایرکتوری پیش فرض پروفایل کاربر شروع می شود و از فایل .BLF که قدیمی ترین تاریخ زمان ایجاد را دارد، استفاده می نماید".
گروه Mandiant به سازمان ها توصیه می کند که قوانین YARA را برای اسکن شبکه های داخلی برای یافتن علائم بدافزار و مراقبت از شاخص های احتمالی خطر (IoCs) در ایونت های "process" ،"imageload" یا "filewrite" مرتبط با سیستم لاگ های تشخیص و پاسخ اندپوینت (EDR) به کار گیرند.
برچسب ها: Mandiant, Log File, Log, imageload, process, filewrite, PrintNotify, next-stage payload, OLTP, CLFS, second-stage payload, STASHLOG, PRIVATELOG, Payload, cybersecurity, malware, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری