Bezpieczeństwo IT - metody ochrony, Cyberzagrożenia, Ochrona przed złośliwym oprogramowaniem

Nowa rodzina złośliwego oprogramowania wykorzystuje pliki logów CLFS

Czas czytania: 2 min

Naukowcy zajmujący się cyberbezpieczeństwem ujawnili szczegóły dotyczące nowej rodziny złośliwego oprogramowania. Wykorzystuje Common Log File System (CLFS) do ukrywania ładunku drugiego stopnia w plikach transakcji rejestru. Próbując w ten sposób uniknąć mechanizmów wykrywania.

Zespół Mandiant Advanced Practices firmy FireEye, który dokonał odkrycia, nazwał złośliwe oprogramowanie PRIVATELOG, a jego instalator – STASHLOG. Szczegóły dotyczące tożsamości sprawców zagrożenia lub ich motywów pozostają niejasne.

Chociaż złośliwe oprogramowanie nie zostało jeszcze wykryte w rzeczywistych atakach na środowiska klientów ani nie zauważono, że uruchamia ono ładunki drugiego stopnia, Mandiant podejrzewa, że PRIVATELOG może być nadal w fazie rozwoju, być dziełem badacza lub zostać wdrożony jako część wysoce ukierunkowanego działania.

Charakterystyka CLFS

CLFS to podsystem logowania ogólnego przeznaczenia w systemie Windows. Dostępny jest zarówno dla aplikacji w trybie jądra, jak i w trybie użytkownika. Dla systemów baz danych, systemów OLTP, klienckich komunikatorów i systemów zarządzania zdarzeniami sieciowymi. Służy do tworzenia i udostępniania wysokowydajnych dzienników transakcji.

„Ponieważ format pliku nie jest powszechnie używany ani udokumentowany, nie ma dostępnych narzędzi, które potrafią wyświetlać pliki logów CLFS” – wyjaśniają badacze z firmy Mandiant w opublikowanym w tym tygodniu opracowaniu. „Daje to atakującym możliwość wygodnego ukrycia swoich danych jako zapisów logów, ponieważ są one dostępne poprzez funkcje API”.

PRIVATELOG i STASHLOG

PRIVATELOG i STASHLOG dysponują funkcjami, które pozwalają złośliwemu oprogramowaniu pozostawać na zainfekowanych urządzeniach i unikać wykrycia. Wykorzystują do tego zaciemnione łańcuchy i techniki przepływu sterowania. Zaprojektowane są tak, aby analiza statyczna była uciążliwa. Co więcej, instalator STASHLOG przyjmuje jako argument payload następnego etapu, którego zawartość jest następnie umieszczana w określonym pliku dziennika CLFS.

Z kolei PRIVATELOG, stworzony jako niezaciemniona 64-bitowa biblioteka DLL o nazwie „prntvpt.dll”. Wykorzystuje technikę zwaną DLL search order hijacking w celu załadowania złośliwej biblioteki. W momencie wywołania przez program ofiary, w tym przypadku usługę o nazwie „PrintNotify”.

„Podobnie jak STASHLOG, PRIVATELOG zaczyna od wyliczenia plików *.BLF w katalogu profilu domyślnego użytkownika i wykorzystuje plik .BLF z najstarszym znacznikiem czasu daty utworzenia” – zauważają badacze, zanim użyje go do odszyfrowania i zapisania payloadu drugiego stopnia.

Mandiant zaleca, aby organizacje stosowały reguły YARA do skanowania sieci wewnętrznych w poszukiwaniu oznak złośliwego oprogramowania. Oraz na zwracanie uwagi na potencjalne wskaźniki włamania (Indicators of Compromise – IoC) w zdarzeniach typu „process”, „imageload” lub „filewrite” związanych z logami systemu wykrywania i reagowania na punkty końcowe (EDR).

 

Źródło: https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html

 





Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*
*
piętnaście − 8 =