PRIVATELOG Malware

PRIVATELOG Malware es una amenaza única descubierta por los analistas del equipo de prácticas avanzadas de Mandiant. La amenaza se establece como una nueva familia de malware y su uso previsto parece ser como un sistema de entrega para cargas útiles en etapas posteriores en los sistemas comprometidos. Hasta el momento, PRIVATELOG y su instalador llamado STASHLOG no se han observado en campañas de ataques en vivo, lo que podría indicar que aún están en desarrollo.

PRIVATELOG Explota CLFS

PRIVTELOG Malware abusa del Common Log File System (CLFS) para ocultar la carga útil de la siguiente etapa en los archivos de transacciones del Registro. CLFS fue desarrollado por Microsoft e introducido con Windows Vista y Windows Server 2003 R2. Es un marco de registro que proporciona a los programas funciones API relacionadas con la creación, almacenamiento y lectura de datos de registro. El formato de archivo CLFS no se usa ampliamente y, como tal, los atacantes pueden ocultar sus datos corruptos como registros que serán difíciles de notar.

Detalles técnicos

PRIVATELOG utiliza ofuscaciones de código, una técnica típica que se observa en la mayoría de las familias de malware, pero introduce un aspecto de descomentar. La amenaza cifra cada byte usando XOR con un byte codificado en línea sin bucles. En la práctica, esto significa que cada cadena está encriptada con un flujo de bytes único.

En el sistema, PRIVATELOG toma la apariencia de una DLL de 64 bits sin ofuscar llamada "prntvpt.dll". Intenta imitar los archivos legítimos 'prntvpt.dll' conteniendo exportaciones similares pero, en el caso del archivo dañado, estas exportaciones no tienen ninguna funcionalidad.

Para cargar y ejecutar la carga útil de DLL, PRIVATELOG emplea una técnica rara vez encontrada que involucra transacciones NTFS. En esencia, el método parece ser similar a la técnica de vaciado de DLL fantasma.