Threat Database Malware PRIVATELOG-Malware

PRIVATELOG-Malware

Die PRIVATELOG-Malware ist eine einzigartige Bedrohung, die von den Analysten des Mandiant Advanced Practices-Teams entdeckt wurde. Die Bedrohung ist als neue Malware-Familie etabliert und soll als Bereitstellungssystem für spätere Nutzlasten auf den kompromittierten Systemen verwendet werden. PRIVATELOG und sein Installer namens STASHLOG wurden bisher nicht in Live-Angriffskampagnen beobachtet, was darauf hindeuten könnte, dass sie sich noch in der Entwicklung befinden.

PRIVATELOG nutzt CLFS

Die PRIVTELOG-Malware missbraucht das Common Log File System (CLFS), um die beabsichtigte Nutzlast der nächsten Stufe in den Transaktionsdateien der Registry zu verbergen. CLFS wurde von Microsoft entwickelt und mit Windows Vista und Windows Server 2003 R2 eingeführt. Es ist ein Log-Framework, das Programmen API-Funktionen zum Erstellen, Speichern und Lesen von Log-Daten bereitstellt. Das CLFS-Dateiformat ist nicht weit verbreitet und daher können die Angreifer ihre beschädigten Daten als Protokolleinträge verbergen, die schwer zu erkennen sind.

Technische Details

PRIVATELOG verwendet Code-Verschleierung, eine typische Technik, die in den meisten Malware-Familien beobachtet wird, führt jedoch einen Aspekt ohne Kommentar ein. Die Bedrohung verschlüsselt jedes Byte mithilfe von XOR mit einem hartcodierten Byte inline ohne Schleifen. In der Praxis bedeutet dies, dass jeder String mit einem eindeutigen Bytestream verschlüsselt wird.

Auf dem System nimmt PRIVATELOG das Aussehen einer nicht verschleierten 64-Bit-DLL namens 'prntvpt.dll' an. Es versucht, die legitimen 'prntvpt.dll'-Dateien zu imitieren, indem es ähnliche Exporte enthält, aber im Falle der beschädigten Datei haben diese Exporte keine Funktionalität.

Zum Laden und Ausführen von DLL-Nutzdaten verwendet PRIVATELOG eine selten anzutreffende Technik mit NTFS-Transaktionen. Im Wesentlichen scheint die Methode der Phantom-DLL-Höhlungstechnik ähnlich zu sein.

Im Trend

Am häufigsten gesehen

Wird geladen...