资讯专栏INFORMATION COLUMN

新的恶意软件家族使用CLFS日志文件逃避检测

王笑朝 / 1244人阅读

摘要:的安全专家报告称,该恶意软件名为,其安装程序为。这些事务使应用程序能够在文件系统或注册表中实现很少的更改。

FireEye网络安全研究人员透露了他们最近检测到的一个新恶意软件系列的所有细节。

这种恶意软件依赖于公共日志文件系统(CLFS)来覆盖注册事务文件中的第二阶段有效载荷,这样它们就可以轻松地逃避检测机制。

FireEye的安全专家报告称,该恶意软件名为PRIVATELOG,其安装程序为STASHLOG。威胁行为者的主要动机尚不清楚。

CLFS和交易文件

CLFS是一个日志框架,由Microsoft在Windows Vista和Windows Server 2003 R2中生成并发布,这个日志框架通常呈现应用程序和API函数,这些函数可以在clfsw32.dll中创建、存储和读取日志数据。

另一方面,内核事务管理器(KTM)主要将CLFS用于事务性NTFS (TxF)和事务性注册表 (TxR)操作。

这些事务使应用程序能够在文件系统或注册表中实现很少的更改。但是,所有这些都安排在一个事务中,可以很容易地提交或回滚。

恶意软件混淆

根据调查报告,几乎所有PRIVATE LOG和STASHLOG使用的字符串都被混淆了,但重要的一点是,在恶意软件中观察到的方法相当罕见。

安全专家宣称,这些方法依赖于用硬编码的内联字节对每个字节进行异或运算,没有特定的循环,因此这个恶意软件的每个字符串都用唯一的字节流进行加密。

存储有效载荷

启动后,安装程序会打开并解密作为争用传输的文件的全部内容。

不仅如此,它还确认文件已使用其SHA1哈希作为后缀,然后仅通过使用系统内存中收集的GlobalAtom GUID字符串创建相同的56字节值。

但是,56字节的值是经过哈希处理的SHA1,前16字节已形成初始化向量 (IV)。但是,主键是来自主机注册表的16字节MachineGUID值,加密算法是HC-128,这种算法很少被威胁行为者使用。

进入私人日志

此外,Mandiant的安全分析是一个没有混淆的64位DLL,名为prntvpt.dll,它包括模拟合法的prntvpt.dll文件的导出。PRIVATELOG通常通过劫持DLL搜索顺序从PrintConfig.dll加载,这是PrintNotify服务的中心DLL。

不仅如此,PRIVATELOG使用一种非常独特的方式来执行DLL有效负载,并且根据报告,有效负载依赖NTFS事务。

可见恶意软件一直在探索新的技术以躲过软件查杀工具和安全防御设备。“敌暗我明”,网络犯罪分子总可以找到超越安全防护设备的新手段。软件检测及分析工具要和恶意软件同步需要一定时间,但企业及组织机构的安全意识必须提高起来,要积极主动去防御新出现的技术和恶意软件攻击。通过加强软件自身安全防御能力,从底层源代码安全检测做起,减少安全漏洞及代码缺陷等问题,不给恶意软件可乘之机。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

gbhackers.com/new-malware…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/119569.html

相关文章

  • 研究人员警告说,新的恶意软件可以规避和卸载云安全软件

    摘要:新的恶意软件压力可以规避和卸载云安全软件,研究人员警告说,好消息是您的组织终于开始安装一些顶级云安全工具。,意识到现有的云监控和安全产品可能会检测到可能的恶意软件入侵,恶意软件作者继续创建新的规避技术,以避免被云安全产品检测到。新的恶意软件压力可以规避和卸载云安全软件,研究人员警告说,好消息是:您的组织终于开始安装一些顶级云安全工具。坏消息:恶意软件已经开发出来了,它可以逃避他们的检测。Th...

    Scott 评论0 收藏0
  • LockFile勒索软件使用前所未有的加密技术逃避检测

    摘要:而且此前从未见过在勒索软件攻击中使用间歇性加密。在那里发现了勒索软件的主要功能,第一部分初始化了一个加密库,可能将其用于其加密功能。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body ...

    DandJ 评论0 收藏0
  • 金融科技行业网络安全威胁概览

    摘要:在众多端点威胁中,针对金融部门的最常见的持续攻击是网络钓鱼和勒索软件攻击。通过研究,影响金融行业的勒索软件攻击和数据泄露的趋势表明,勒索软件组是最活跃的。针对金融机构的累计攻击次数达起,涉及个勒索软件组织。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 评论0 收藏0
  • 系统潜入后门分析

    摘要:在这个案例里,这些是欺骗性的功能,它们似乎有一个唯一目的,即混淆自动检测系统,反病毒软件,或者那些甚至尝试手工分析这些程序样本的分析人员。受害机器的处于所规定的地址空间,攻击者是无法通过到达的。 初始传染手段 - Nuclear Pack 已经有一些其他的文章介绍过Nuclear Pack破解工具包。可能它还不像g10pack或者BlackHole这些工具那么流行,也没有像CoolE...

    forrest23 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<