PRIVATELOG: جلوگیری از تشخیص داده شدن با استفاده از فایل‌های CLFS Log توسط خانواده‌ای جدید از دژافزارها

محققان امنیت سایبری جزئیات مربوط به یک خانواده‌ی دژافزاری جدید (PRIVATELOG) را فاش کرده‌اند که به سیستم Log File مشترک (CLFS) متکی است[۱] تا payload مرحله‌ی دوم را در فایل‌های تراکنش رجیستری پنهان کند تا از مکانیسم‌های تشخیص جلوگیری کند.

تیم FireEye’s Mandiant Advanced Practices، که به این کشف دست یافت، این دژافزار را PRIVATELOG نامید و نصب کننده‌ی آن STASHLOG نام گرفت. جزئیات در مورد هویت مهاجمان یا انگیزه‌های آن‌ها نامشخص است.

اگرچه این دژافزار هنوز در حملات دنیای واقعی با هدف محیط‌های مشتری تشخیص داده می‌شود یا در هنگام اجرای هر payload مرحله‌ی دومی مشخص می‌شود، Mandiant شک  کرده است که PRIVATELOG هنوز درحال‌توسعه است، کار یک محقق است یا به‌عنوان بخشی از یک فعالیت بسیار هدفمند استفاده می‌شود.

CLFS یک زیرسیستم ورود به سیستم عمومی در ویندوز است که هم برای حالت کرنل و هم برای برنامه‌های حالت کاربر مانند سیستم‌های پایگاه داده، سیستم‌های OLTP، سرویس‌گیرندگان پیام و سیستم‌های مدیریت رویداد شبکه برای ایجاد و به اشتراک‌گذاری گزارش‌های تراکنش با عملکرد بالا قابل‌دسترسی است.

محققان Mandiant در مقاله‌ای که این هفته منتشر شد توضیح دادند[۲]: “ازآنجاکه قالب فایل به‌طور گسترده استفاده نمی‌شود یا مستند نیست، هیچ ابزار در دسترسی وجود ندارد که بتواند فایل‌های گزارش CLFS را تجزیه کند. این به مهاجمان فرصتی می‌دهد تا داده‌های خود را به‌عنوان یک log ثبت‌شده به شیوه‌ای مناسب پنهان کنند، زیرا از طریق توابع API قابل‌دسترسی است.”

PRIVATELOG و STASHLOG دارای قابلیت‌هایی هستند که به نرم‌افزارهای مخرب اجازه می‌دهند تا روی دستگاه‌های آلوده باقی بمانند و از شناسایی خودداری کنند، ازجمله استفاده از رشته‌های مبهم و تکنیک‌های کنترل جریان که به‌طور واضح برای تجزیه‌وتحلیل استاتیک طراحی‌شده‌اند. علاوه بر این، نصب کننده‌ی STASHLOG در حقیقت payload مرحله‌ی بعدی را به‌عنوان یک استدلال می‌پذیرد، که محتویات آن متعاقباً در یک فایل log از نوع CLFS خاص ذخیره می‌شود.

در مقابل، PRIVATELOG به‌عنوان یک un-obfuscated 64-bit DLL به نام “prntvpt.dll” طراحی شده است، اما از تکنیکی به نام DLL search order hijacking استفاده می‌کند[۳] تا کتابخانه‌ی موذی را هنگامی‌که توسط برنامه‌ی قربانی فراخوانی می‌شود بارگذاری کند، در این مورد، سرویسی به نام “PrintNotify”.

“مشابهSTASHLOG ، PRIVATELOG با شمارش فایل‌های BLF در فهرست مشخصات پیش‌فرض کاربر شروع می‌شود و از فایل .BLF با قدیمی‌ترین تاریخ زمان ایجاد استفاده می‌کند”، محققان قبل از استفاده از آن برای رمزگشایی و ذخیره‌ی payload مرحله‌ی دوم استفاده می‌کنند.

Mandiant به سازمان‌ها توصیه می‌کند که قوانین YARA را برای اسکن شبکه‌های داخلی برای یافتن علائم دژافزار و مراقبت از شاخص‌های احتمالی سازش (IoCs) در رویدادهایprocess ، imageload یا filewrite مرتبط با گزارش‌های سیستم تشخیص و پاسخ نهایی (EDR) استفاده کنند.

منابع

[۱] https://en.wikipedia.org/wiki/Common_Log_File_System

[۲] https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html

[۳] https://attack.mitre.org/techniques/T1574/001

[۴] https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html