FireEye網絡安全研究人員透露了他們最近檢測到的一個新惡意軟件系列的所有細節。
這種惡意軟件依賴于公共日志文件系統(CLFS)來覆蓋注冊事務文件中的第二階段有效載荷,這樣它們就可以輕松地逃避檢測機制。
FireEye的安全專家報告稱,該惡意軟件名為PRIVATELOG,其安裝程序為STASHLOG。威脅行為者的主要動機尚不清楚。
CLFS和交易文件
CLFS是一個日志框架,由Microsoft在Windows Vista和Windows Server 2003 R2中生成并發布,這個日志框架通常呈現應用程序和API函數,這些函數可以在clfsw32.dll中創建、存儲和讀取日志數據。
另一方面,內核事務管理器(KTM)主要將CLFS用于事務性NTFS (TxF)和事務性注冊表 (TxR)操作。
這些事務使應用程序能夠在文件系統或注冊表中實現很少的更改。但是,所有這些都安排在一個事務中,可以很容易地提交或回滾。
惡意軟件混淆
根據調查報告,幾乎所有PRIVATE LOG和STASHLOG使用的字符串都被混淆了,但重要的一點是,在惡意軟件中觀察到的方法相當罕見。
安全專家宣稱,這些方法依賴于用硬編碼的內聯字節對每個字節進行異或運算,沒有特定的循環,因此這個惡意軟件的每個字符串都用唯一的字節流進行加密。
存儲有效載荷
啟動后,安裝程序會打開并解密作為爭用傳輸的文件的全部內容。
不僅如此,它還確認文件已使用其SHA1哈希作為后綴,然后僅通過使用系統內存中收集的GlobalAtom GUID字符串創建相同的56字節值。
但是,56字節的值是經過哈希處理的SHA1,前16字節已形成初始化向量 (IV)。但是,主鍵是來自主機注冊表的16字節MachineGUID值,加密算法是HC-128,這種算法很少被威脅行為者使用。
進入私人日志
此外,Mandiant的安全分析是一個沒有混淆的64位DLL,名為prntvpt.dll,它包括模擬合法的prntvpt.dll文件的導出。PRIVATELOG通常通過劫持DLL搜索順序從PrintConfig.dll加載,這是PrintNotify服務的中心DLL。
不僅如此,PRIVATELOG使用一種非常獨特的方式來執行DLL有效負載,并且根據報告,有效負載依賴NTFS事務。
可見惡意軟件一直在探索新的技術以躲過軟件查殺工具和安全防御設備。“敵暗我明”,網絡犯罪分子總可以找到超越安全防護設備的新手段。軟件檢測及分析工具要和惡意軟件同步需要一定時間,但企業及組織機構的安全意識必須提高起來,要積極主動去防御新出現的技術和惡意軟件攻擊。通過加強軟件自身安全防御能力,從底層源代碼安全檢測做起,減少安全漏洞及代碼缺陷等問題,不給惡意軟件可乘之機。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/119569.html
