Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Malware PRIVATELOG Malware

PRIVATELOG Malware

Par Mezo en Malware
Se traduisent par :
Français

Le malware PRIVATELOG est une menace unique découverte par les analystes de l'équipe Mandiant Advanced Practices. La menace est établie comme une nouvelle famille de logiciels malveillants et son utilisation prévue semble être un système de livraison pour les charges utiles de stade ultérieur sur les systèmes compromis. Jusqu'à présent, PRIVATELOG et son installateur nommé STASHLOG n'ont pas été observés dans des campagnes d'attaque en direct, ce qui pourrait indiquer qu'ils sont toujours en développement.

PRIVATELOG Exploits CLFS

Le logiciel malveillant PRIVTELOG abuse du Common Log File System (CLFS) pour masquer la charge utile prévue de la prochaine étape dans les fichiers de transaction du registre. CLFS a été développé par Microsoft et introduit avec Windows Vista et Windows Server 2003 R2. Il s'agit d'un cadre de journal qui fournit aux programmes des fonctions API liées à la création, au stockage et à la lecture des données de journal. Le format de fichier CLFS n'est pas largement utilisé et, en tant que tel, les attaquants peuvent cacher leurs données corrompues sous forme d'enregistrements de journal qui seront difficiles à remarquer.

Détails techniques

PRIVATELOG utilise l'obscurcissement du code, une technique typique observée dans la plupart des familles de logiciels malveillants, mais il introduit un aspect de dé-commentaire. La menace crypte chaque octet en utilisant XOR avec un octet codé en dur en ligne sans boucles. En pratique, cela signifie que chaque chaîne est chiffrée avec un flux d'octets unique.

Sur le système, PRIVATELOG prend l'apparence d'une DLL 64 bits non masquée nommée « prntvpt.dll ». Il essaie d'imiter les fichiers "prntvpt.dll" légitimes en contenant des exportations similaires mais, dans le cas du fichier corrompu, ces exportations n'ont aucune fonctionnalité.

Pour charger et exécuter la charge utile DLL, PRIVATELOG utilise une technique rarement rencontrée impliquant des transactions NTFS. En substance, la méthode semble être similaire à la technique de creusement de la DLL fantôme.

Tendance

Le plus regardé

Chargement...