新的恶意软件家族使用CLFS日志文件逃避检测
共 1384字,需浏览 3分钟
·
2021-09-07 11:03
FireEye网络安全研究人员透露了他们最近检测到的一个新恶意软件系列的所有细节。
这种恶意软件依赖于公共日志文件系统(CLFS)来覆盖注册事务文件中的第二阶段有效载荷,这样它们就可以轻松地逃避检测机制。
FireEye的安全专家报告称,该恶意软件名为PRIVATELOG,其安装程序为STASHLOG。威胁行为者的主要动机尚不清楚。
CLFS和交易文件
CLFS是一个日志框架,由Microsoft在Windows Vista和Windows Server 2003 R2中生成并发布,这个日志框架通常呈现应用程序和API函数,这些函数可以在clfsw32.dll中创建、存储和读取日志数据。
另一方面,内核事务管理器(KTM)主要将CLFS用于事务性NTFS (TxF)和事务性注册表 (TxR)操作。
这些事务使应用程序能够在文件系统或注册表中实现很少的更改。但是,所有这些都安排在一个事务中,可以很容易地提交或回滚。
恶意软件混淆
根据调查报告,几乎所有PRIVATE LOG和STASHLOG使用的字符串都被混淆了,但重要的一点是,在恶意软件中观察到的方法相当罕见。
安全专家宣称,这些方法依赖于用硬编码的内联字节对每个字节进行异或运算,没有特定的循环,因此这个恶意软件的每个字符串都用唯一的字节流进行加密。
存储有效载荷
启动后,安装程序会打开并解密作为争用传输的文件的全部内容。
不仅如此,它还确认文件已使用其SHA1哈希作为后缀,然后仅通过使用系统内存中收集的GlobalAtom GUID字符串创建相同的56字节值。
但是,56字节的值是经过哈希处理的SHA1,前16字节已形成初始化向量 (IV)。但是,主键是来自主机注册表的16字节MachineGUID值,加密算法是HC-128,这种算法很少被威胁行为者使用。
进入私人日志
此外,Mandiant的安全分析是一个没有混淆的64位DLL,名为prntvpt.dll,它包括模拟合法的prntvpt.dll文件的导出。PRIVATELOG通常通过劫持DLL搜索顺序从PrintConfig.dll加载,这是PrintNotify服务的中心DLL。
不仅如此,PRIVATELOG使用一种非常独特的方式来执行DLL有效负载,并且根据报告,有效负载依赖NTFS事务。
可见恶意软件一直在探索新的技术以躲过软件查杀工具和安全防御设备。“敌暗我明”,网络犯罪分子总可以找到超越安全防护设备的新手段。软件检测及分析工具要和恶意软件同步需要一定时间,但企业及组织机构的安全意识必须提高起来,要积极主动去防御新出现的技术和恶意软件攻击。通过加强软件自身安全防御能力,从底层源代码安全检测做起,减少安全漏洞及代码缺陷等问题,不给恶意软件可乘之机。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=1b136d14f50b42a29d65831e68f26fe4
https://gbhackers.com/new-malware-family-using-clfs-log-files-to-evade-detection/