PRIVATELOG Malware

PRIVATELOGマルウェアは、Mandiant AdvancedPracticesチームのアナリストによって発見されたユニークな脅威です。この脅威は新しいマルウェアファミリーとして確立されており、その使用目的は、侵害されたシステムの後期ペイロードの配信システムとしてのようです。これまでのところ、PRIVATELOGとSTASHLOGという名前のインストーラーは、ライブ攻撃キャンペーンでは観察されていません。これは、それらがまだ開発中であることを示している可能性があります。

PRIVATELOGはCLFSを悪用します

PRIVTELOGマルウェアは、Common Log File System（CLFS）を悪用して、レジストリトランザクションファイル内の目的の次のステージのペイロードを非表示にします。 CLFSはMicrosoftによって開発され、WindowsVistaおよびWindowsServer 2003R2で導入されました。これは、ログデータの作成、保存、および読み取りに関連するAPI関数をプログラムに提供するログフレームワークです。 CLFSファイル形式は広く使用されていないため、攻撃者は破損したデータを気づきにくいログレコードとして隠すことができます。

技術的な詳細

PRIVATELOGは、ほとんどのマルウェアファミリで見られる典型的な手法であるコードの難読化を使用しますが、コメント解除の側面をもたらします。脅威は、ループなしでインラインでハードコードされたバイトを使用してXORを使用して各バイトを暗号化します。実際には、これは、各文字列が一意のバイトストリームで暗号化されることを意味します。

システム上で、PRIVATELOGは、「prntvpt.dll」という名前の難読化されていない64ビットDLLのように見えます。同様のエクスポートを含めることにより、正当な「prntvpt.dll」ファイルを模倣しようとしますが、破損したファイルの場合、これらのエクスポートには機能がありません。

DLLペイロードをロードして実行するために、PRIVATELOGは、NTFSトランザクションを含むめったに遭遇しない手法を採用しています。本質的に、この方法はPhantomDLLの中空化手法に似ているように見えます。