FireEye網(wǎng)絡(luò)安全研究人員透露了他們最近檢測到的一個新惡意軟件系列的所有細(xì)節(jié)。
這種惡意軟件依賴于公共日志文件系統(tǒng)(CLFS)來覆蓋注冊事務(wù)文件中的第二階段有效載荷,這樣它們就可以輕松地逃避檢測機(jī)制。
FireEye的安全專家報告稱,該惡意軟件名為PRIVATELOG,其安裝程序為STASHLOG。威脅行為者的主要動機(jī)尚不清楚。
CLFS和交易文件
CLFS是一個日志框架,由Microsoft在Windows Vista和Windows Server 2003 R2中生成并發(fā)布,這個日志框架通常呈現(xiàn)應(yīng)用程序和API函數(shù),這些函數(shù)可以在clfsw32.dll中創(chuàng)建、存儲和讀取日志數(shù)據(jù)。
另一方面,內(nèi)核事務(wù)管理器(KTM)主要將CLFS用于事務(wù)性NTFS (TxF)和事務(wù)性注冊表 (TxR)操作。
這些事務(wù)使應(yīng)用程序能夠在文件系統(tǒng)或注冊表中實現(xiàn)很少的更改。但是,所有這些都安排在一個事務(wù)中,可以很容易地提交或回滾。
惡意軟件混淆
根據(jù)調(diào)查報告,幾乎所有PRIVATE LOG和STASHLOG使用的字符串都被混淆了,但重要的一點是,在惡意軟件中觀察到的方法相當(dāng)罕見。
安全專家宣稱,這些方法依賴于用硬編碼的內(nèi)聯(lián)字節(jié)對每個字節(jié)進(jìn)行異或運算,沒有特定的循環(huán),因此這個惡意軟件的每個字符串都用唯一的字節(jié)流進(jìn)行加密。
存儲有效載荷
啟動后,安裝程序會打開并解密作為爭用傳輸?shù)奈募娜績?nèi)容。
不僅如此,它還確認(rèn)文件已使用其SHA1哈希作為后綴,然后僅通過使用系統(tǒng)內(nèi)存中收集的GlobalAtom GUID字符串創(chuàng)建相同的56字節(jié)值。
但是,56字節(jié)的值是經(jīng)過哈希處理的SHA1,前16字節(jié)已形成初始化向量 (IV)。但是,主鍵是來自主機(jī)注冊表的16字節(jié)MachineGUID值,加密算法是HC-128,這種算法很少被威脅行為者使用。
進(jìn)入私人日志
此外,Mandiant的安全分析是一個沒有混淆的64位DLL,名為prntvpt.dll,它包括模擬合法的prntvpt.dll文件的導(dǎo)出。PRIVATELOG通常通過劫持DLL搜索順序從PrintConfig.dll加載,這是PrintNotify服務(wù)的中心DLL。
不僅如此,PRIVATELOG使用一種非常獨特的方式來執(zhí)行DLL有效負(fù)載,并且根據(jù)報告,有效負(fù)載依賴NTFS事務(wù)。
可見惡意軟件一直在探索新的技術(shù)以躲過軟件查殺工具和安全防御設(shè)備。“敵暗我明”,網(wǎng)絡(luò)犯罪分子總可以找到超越安全防護(hù)設(shè)備的新手段。軟件檢測及分析工具要和惡意軟件同步需要一定時間,但企業(yè)及組織機(jī)構(gòu)的安全意識必須提高起來,要積極主動去防御新出現(xiàn)的技術(shù)和惡意軟件攻擊。通過加強(qiáng)軟件自身安全防御能力,從底層源代碼安全檢測做起,減少安全漏洞及代碼缺陷等問題,不給惡意軟件可乘之機(jī)。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/119569.html
