محققان امنیت سایبری جزئیات مربوط به یک خانوادهی دژافزاری جدید (PRIVATELOG) را فاش کردهاند که به سیستم Log File مشترک (CLFS) متکی است[۱] تا payload مرحلهی دوم را در فایلهای تراکنش رجیستری پنهان کند تا از مکانیسمهای تشخیص جلوگیری کند.
تیم FireEye’s Mandiant Advanced Practices، که به این کشف دست یافت، این دژافزار را PRIVATELOG نامید و نصب کنندهی آن STASHLOG نام گرفت. جزئیات در مورد هویت مهاجمان یا انگیزههای آنها نامشخص است.
اگرچه این دژافزار هنوز در حملات دنیای واقعی با هدف محیطهای مشتری تشخیص داده میشود یا در هنگام اجرای هر payload مرحلهی دومی مشخص میشود، Mandiant شک کرده است که PRIVATELOG هنوز درحالتوسعه است، کار یک محقق است یا بهعنوان بخشی از یک فعالیت بسیار هدفمند استفاده میشود.
CLFS یک زیرسیستم ورود به سیستم عمومی در ویندوز است که هم برای حالت کرنل و هم برای برنامههای حالت کاربر مانند سیستمهای پایگاه داده، سیستمهای OLTP، سرویسگیرندگان پیام و سیستمهای مدیریت رویداد شبکه برای ایجاد و به اشتراکگذاری گزارشهای تراکنش با عملکرد بالا قابلدسترسی است.
محققان Mandiant در مقالهای که این هفته منتشر شد توضیح دادند[۲]: “ازآنجاکه قالب فایل بهطور گسترده استفاده نمیشود یا مستند نیست، هیچ ابزار در دسترسی وجود ندارد که بتواند فایلهای گزارش CLFS را تجزیه کند. این به مهاجمان فرصتی میدهد تا دادههای خود را بهعنوان یک log ثبتشده به شیوهای مناسب پنهان کنند، زیرا از طریق توابع API قابلدسترسی است.”
PRIVATELOG و STASHLOG دارای قابلیتهایی هستند که به نرمافزارهای مخرب اجازه میدهند تا روی دستگاههای آلوده باقی بمانند و از شناسایی خودداری کنند، ازجمله استفاده از رشتههای مبهم و تکنیکهای کنترل جریان که بهطور واضح برای تجزیهوتحلیل استاتیک طراحیشدهاند. علاوه بر این، نصب کنندهی STASHLOG در حقیقت payload مرحلهی بعدی را بهعنوان یک استدلال میپذیرد، که محتویات آن متعاقباً در یک فایل log از نوع CLFS خاص ذخیره میشود.
در مقابل، PRIVATELOG بهعنوان یک un-obfuscated 64-bit DLL به نام “prntvpt.dll” طراحی شده است، اما از تکنیکی به نام DLL search order hijacking استفاده میکند[۳] تا کتابخانهی موذی را هنگامیکه توسط برنامهی قربانی فراخوانی میشود بارگذاری کند، در این مورد، سرویسی به نام “PrintNotify”.
“مشابهSTASHLOG ، PRIVATELOG با شمارش فایلهای BLF در فهرست مشخصات پیشفرض کاربر شروع میشود و از فایل .BLF با قدیمیترین تاریخ زمان ایجاد استفاده میکند”، محققان قبل از استفاده از آن برای رمزگشایی و ذخیرهی payload مرحلهی دوم استفاده میکنند.
Mandiant به سازمانها توصیه میکند که قوانین YARA را برای اسکن شبکههای داخلی برای یافتن علائم دژافزار و مراقبت از شاخصهای احتمالی سازش (IoCs) در رویدادهایprocess ، imageload یا filewrite مرتبط با گزارشهای سیستم تشخیص و پاسخ نهایی (EDR) استفاده کنند.
منابع
[۱] https://en.wikipedia.org/wiki/Common_Log_File_System
[۲] https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html
[۳] https://attack.mitre.org/techniques/T1574/001
[۴] https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html
ثبت ديدگاه