محققان امنیت سایبری جزئیاتی را در مورد یک خانوادهی بدافزار جدید منتشر کردهاند که برای مخفی کردن یک Second-Stage Payload در فایلهای تراکنش Registry از Common Log File System یا CLFS استفاده میکند تا از مکانیزمهای شناسایی فرار کند.
تیم FireEye’s Mandiant Advanced Practices که این موضوع را کشف کرده است، نام این بدافزار را PRIVATELOG و نام نصبکنندهی آن را STASHLOG گذاشت. جزئیات هویت عاملان تهدید و انگیزهی آنها هنوز مشخص نیست.
هرچند این بدافزار هنوز در حملات واقعی به محیط مشتریان شناسایی و دیده نشده که Second-Stage Payloadی را اجرا کند، Mandiant حدس میزند که PRIVATELOG یا هنوز درحالتوسعه است یا کار یک محقق است و یا بهعنوان بخشی از یک حملهی هدفمند ایجاد شده است.
CLFS یک سیستم فرعی Logging با هدف کلی (General-Purpose) در ویندوز است که هم برای برنامههای کاربردی حالت هسته (Kernel-Mode) و هم حالت کاربر (User-Mode) مثل سیستمهای دیتابیس، Clientهای پیامرسانی و سیستمهای مدیریت رخداد برای ساخت و اشتراک Logهای تراکنش با عملکرد بالا قابلدسترسی است.
محققان Mandiant در گزارشی که منتشر شد شرح دادند: «ازآنجاییکه این فرمت فایل بهطور گسترده مورد استفاده قرار نگرفته یا ثبت نشده است، هیچ ابزاری در دسترس نیست که بتوان آن را برای تجزیه فایلهای CLFS Log مورد استفاده قرار داد. این امر برای مهاجمان این فرصت را ایجاد میکند که دادههای خود را بهشکل آمار Log بهراحتی مخفی کنند، زیرا این آمار از طریق عملکردهای API قابلدسترسی هستند.»
PRIVATELOG و STASHLOG دارای قابلیتهایی هستند که به نرمافزارهای مخرب این اجازه را میدهند که روی دستگاههای آلوده بمانند و از شناسایی اجتناب کنند، از جملهی این قابلیتها میتوان به استفاده از رشتههای مبهم و تکنیکهای جریان کنترل اشاره کرد که بهطور خاص طراحیشدهاند تا تجزیهوتحلیل استاتیک را کند کنند. علاوه بر این، نصبکنندهی STASHLOG یک Next-Stage Payload را بهعنوان استدلالی قبول میکند که محتوای آن در آینده در یک CLFS Log File بهخصوص ذخیره میشود.
در عوض PRIVATELOG که به شکل یک ۶۴-Bit DLL که از حالت مبهم درآمده است (Un-Obfuscated) ساخته شده، از تکنیکی به نام ربودن ترتیب جستجوی DLL استفاده میکند تا وقتی که Library مخرب توسط برنامهی قربانی (که در این مورد «PrintNotify» نام دارد)، فراخوانده میشود آن Library را Load کند.
محقق مربوطه بیان کرد: «PRIVATELOG هم مثل STASHLOG برای شروع، فایلهای*.BLF در دایرکتوری پیشفرض پروفایل کاربر را شمارش کرده و از فایل .BLF با قدیمیترین Timestamp تاریخ تولید استفاده میکند.» سپس این بدافزار Second-Stage Payload را با استفاده از آن فایل .BLF رمزگشایی مینماید.
Mandiant پیشنهاد میکند که سازمانها قواعد YARA را اعمال کنند تا بتوانند شبکههای داخلی را برای دیدن نشانههای بدافزارها اسکن نمایند و همچنین مراقب نشانههای تهدیدات امنیتی یا IOCها در رخدادهای «process»، «imageload» یا «filewrite» باشند، که مربوط به Logهای سیستم شناسایی و پاسخ به Endpoint یا EDR هستند.