خانواده جدیدی از بدافزارها از لاگ فایل مشترک CLFS استفاده می کند
پشتیبانی کاتالوگ
خانواده جدیدی از بدافزارها از لاگ فایل مشترک CLFS استفاده می کند 1400/06/30

تیم FireEye's Mandiant Advanced Practices ، که به این کشف دست یافت ، این بدافزار را PRIVATELOG نامگذاری کرده و نصب کننده آنرا STASHLOG نام نهاد. لازم به ذکر است که تاکنون هیچ اطلاعاتی  در خصوص هویت تولید کننده یا تولیدکنندکان این بدافزار یا انگیزه های آنها، بدست نیامده است.

از آنجایی که بدافزار مذکور تاکنون در فضای عملیاتی قرار نگرفته و به هیچ سیستمی آسیب وارد نکرده است، تیم Mandiant گمان می کند که PRIVATELOG هنوز در حال توسعه بوده و تولید آن کار یک محقق است ، همچنین این بدافزار می تواند به عنوان بخشی از یک برنامه بسیار کاربردی و هدفمند مورد استفاده قرار بگیرد.

CLFS یک زیر سیستم ورود به سیستم عمومی در ویندوز است که هم برای حالت هسته و هم برای برنامه های کاربر محور مانند سیستم های پایگاه داده ، سیستم های OLTP ، سرویس گیرندگان پیام و سیستم های مدیریت رویداد شبکه برای ایجاد و به اشتراک گذاری گزارش های تراکنش با عملکرد بالا استفاده می شود.

محققان Mandiant در مقاله ای که این هفته منتشر شد توضیح دادند: "از آنجا که قالب فایل به طور گسترده مورد استفاده قرار نمی گیرد یا مستند نیست ، هیچ ابزار در دسترسی وجود ندارد که بتواند فایل های گزارش CLFS را تفکیک کند و این موضوع به مهاجمان این امکان را می دهد تا به راحتی داده های خود را به عنوان یک گزارش موجه مخفی کنند ، چراکه این اطلاعات  تنها از طریق توابع API قابل دسترسی است.

PRIVATELOG و STASHLOG دارای قابلیت هایی هستند که به نرم افزارهای مخرب اجازه می دهد تا روی دستگاه های آلوده باقی مانده و شناسایی نشوند ، این قابلیت ها عبارتند از تولید رشته های مبهم و تکنیک های جریان کنترل که به طور واضح برای تجزیه و تحلیل استاتیک طراحی شده اند. علاوه بر این ، نصب کننده STASHLOG مرحله بعد را به عنوان یک استدلال پذیرفته و محتویات آن متعاقباً در یک پرونده گزارش CLFS خاص ذخیره می شود.

در مقابل PRIVATELOG به عنوان یک DLL 64 بیتی بدون ابهام با نام "prntvpt.dll" طراحی شده است، اما از تکنیکی به نام "سرقت دستور جستجوی DLL" استفاده می کند تا کتابخانه مخرب خود را هنگامی که برنامه توسط قربانی فراخوانده میشود، اجرا نماید. در این مورد، از این سرویس با نام "PrintNotify" یاد شده است.

محققان قبل از استفاده از آن برای رمزگشایی و ذخیره second-stage payload یادآور شده اند که: "مانند STASHLOG ،PRIVATELOG با شمارش فایل های با پسوند BLF در دایرکتوری پیش فرض پروفایل کاربر شروع می شود و از فایل .BLF که قدیمی ترین تاریخ زمان ایجاد را دارد، استفاده می نماید".

گروه Mandiant به سازمان ها توصیه می کند که قوانین YARA را برای اسکن شبکه های داخلی برای یافتن علائم بدافزار و مراقبت از شاخص های احتمالی خطر (IoCs) در رویداد های "process‏" ،"imageload" یا "filewrite" مرتبط با سیستم لاگ های تشخیص و پاسخ نقطه پایانی(EDR) به کار گیرند.

 

 

 

0