新恶意软件家族通过CLFS日志来隐藏攻击载荷以对抗检测

网络安全研究人员披露了一个新的恶意软件家族的详细信息，该家族依赖通用日志文件系统 ( CLFS ) 来隐藏注册表事务文件中的第二阶段有效负载，以逃避检测机制。

FireEye 的 Mandiant Advanced Practices 团队发现了恶意软件PRIVATELOG及其安装程序STASHLOG。关于威胁行为者的身份或其动机的细节仍不清楚。

尽管该恶意软件尚未在针对客户环境的实际攻击中被检测到或被发现启动任何第二阶段的有效载荷，但 Mandiant 怀疑 PRIVATELOG 可能仍在开发中、研究人员的工作中，或作为高度有针对性的活动。

CLFS 是 Windows 中的通用日志子系统，内核模式和用户模式应用程序（如数据库系统、OLTP 系统、消息客户端和网络事件管理系统）都可以访问它，用于构建和共享高性能事务日志。

Mandiant 研究人员在本周发表的一篇文章中解释说： “因为文件格式没有被广泛使用或记录，所以没有可以解析 CLFS 日志文件的可用工具。” “这为攻击者提供了以方便的方式将他们的数据隐藏为日志记录的机会，因为这些数据可以通过 API 函数访问。”

PRIVATELOG 和 STASHLOG 具有允许恶意软件在受感染设备上停留并避免检测的功能，包括使用混淆字符串和控制流技术，这些技术明确旨在使静态分析变得繁琐。更重要的是，STASHLOG 安装程序接受下一阶段的有效负载作为参数，其内容随后存储在特定的 CLFS 日志文件中。

作为一个名为“prntvpt.dll”的未混淆的 64 位 DLL，PRIVATELOG 相比之下，利用一种称为DLL 搜索顺序劫持的技术，以便在受害程序调用时加载恶意库，在这种情况下，一项名为“PrintNotify”的服务。

“与 STASHLOG 类似，PRIVATELOG 首先枚举默认用户配置文件目录中的 *.BLF 文件，并使用具有最早创建日期时间戳的 .BLF 文件，”研究人员指出，然后使用它来解密和存储第二阶段的有效负载。

Mandiant 建议组织应用 YARA 规则来扫描内部网络以查找恶意软件的迹象，并注意与端点检测和响应 (EDR) 系统日志相关的“进程”、“图像加载”或“文件写入”事件中的潜在危害指标 (IoC) .