Los investigadores de ciberseguridad han revelado detalles sobre una nueva familia de malware que se basa en Common Log File System (CLFS) para ocultar una carga útil de segunda etapa en los archivos de transacciones de registro en un intento de evadir los mecanismos de detección.
El equipo de prácticas avanzadas de Mandiant de FireEye, que hizo el descubrimiento, denominó al malware PRIVATELOG y su instalador, STASHLOG. Los detalles sobre las identidades del actor de la amenaza o sus motivos siguen sin estar claros.
Aunque el malware aún no se ha detectado en ataques del mundo real dirigidos a entornos de clientes o se ha detectado lanzando cargas útiles de segunda etapa, Mandiant sospecha que PRIVATELOG aún podría estar en desarrollo, ser el trabajo de un investigador o implementarse como parte de un programa altamente actividad dirigida.
CLFS es un subsistema de registro de uso general en Windows al que se puede acceder tanto para aplicaciones en modo kernel como en modo usuario, como sistemas de bases de datos, sistemas OLTP, clientes de mensajería y sistemas de gestión de eventos de red para crear y compartir registros de transacciones de alto rendimiento.
«Debido a que el formato de archivo no se usa ni se documenta de manera generalizada, no hay herramientas disponibles que puedan analizar los archivos de registro CLFS», explicaron los investigadores de Mandiant en un artículo publicado esta semana. «Esto brinda a los atacantes la oportunidad de ocultar sus datos como registros de registro de una manera conveniente, ya que se puede acceder a ellos a través de las funciones de la API».
Acunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
PRIVATELOG y STASHLOG vienen con capacidades que permiten que el software malicioso permanezca en los dispositivos infectados y evite la detección, incluido el uso de cadenas ofuscadas y técnicas de control de flujo que están diseñadas expresamente para hacer que el análisis estático sea engorroso. Además, el instalador STASHLOG acepta una carga útil de la siguiente etapa como argumento, cuyo contenido se guarda posteriormente en un archivo de registro CLFS específico.
En cambio, PRIVATELOG, diseñado como una DLL de 64 bits sin ofuscar llamada «prntvpt.dll», aprovecha una técnica llamada secuestro de orden de búsqueda de DLL para cargar la biblioteca maliciosa cuando es llamada por un programa víctima, en este caso, un servicio llamado «PrintNotify».
«De manera similar a STASHLOG, PRIVATELOG comienza enumerando archivos * .BLF en el directorio de perfil del usuario predeterminado y usa el archivo .BLF con la fecha de creación más antigua», señalaron los investigadores, antes de usarlo para descifrar y almacenar la carga útil de la segunda etapa.
Mandiant recomienda que las organizaciones apliquen las reglas YARA para escanear las redes internas en busca de señales de malware y estén atentos a los posibles indicadores de compromiso (IoC) en los eventos de «proceso», «carga de imágenes» o «escritura de archivos» asociados con los registros del sistema de detección y respuesta de endpoints (EDR)
Fuente: thehackernews.com
