Posté le septembre 4, 2021 à 11:37
UN NOUVEAU LOGICIEL MALVEILLANT UTILISE LES FICHIERS JOURNAUX CLFS POUR NE PAS ÊTRE DÉTECTÉ, PRÉVIENNENT LES CHERCHEURS
L’équipe de recherche en cybersécurité Mandiant de FireEye a découvert une nouvelle famille de logiciels malveillants qui utilise le système de fichiers journaux communs (CLFS) pour implanter une charge utile dans les transactions du registre.
CLFS est utilisé à la fois pour l’enregistrement des événements et des données. Il est utilisé par TxR et TxF pour stocker les changements d’état transactionnels avant la fin d’une transaction.
L’équipe de recherche, qui a baptisé le logiciel malveillant PRIVATELOG, a également noté qu’il se cache dans la charge utile pour éviter d’être détecté lors de l’exploitation du système hôte. Le programme d’installation de PRIVATELOG a été baptisé STASHLOG.
Cependant, l’identité des acteurs de la menace et la raison de leurs opérations ne sont pas claires.
Le logiciel malveillant pourrait être encore en cours de développement
Mandiant a également déclaré que le logiciel malveillant n’a pas encore été vu dans la nature, mais cela ne signifie pas que les acteurs de la menace n’ont pas lancé une charge utile de deuxième étape.
Les chercheurs pensent que PRIVATELOG est peut-être encore en cours de développement ou qu’il attend d’être utilisé pour une cible importante.
CLFS est accessible aux applications en mode utilisateur et en mode noyau, telles que les clients de messagerie, les systèmes OLTP, les systèmes de base de données, la gestion des événements réseau et le partage des journaux de transactions à haute performance.
Le principal problème avec ces types de fichiers est le fait qu’il n’existe aucun outil capable de les analyser. Cela est dû au fait que leurs formats de fichiers ne sont pas documentés ou largement utilisés.
Par conséquent, les acteurs de la menace peuvent conserver les données sous forme d’enregistrements de journaux, ce qui est pratique pour éviter la détection. Le seul moyen d’y accéder est d’utiliser les fonctions API.
Le logiciel malveillant est capable de rester indétecté
STASHLOG et PRIVATELOG ont des capacités qui permettent au logiciel malveillant de rester longtemps sur les appareils infectés, en évitant toute détection. Ils utilisent des techniques de flux de contrôle et de chaînes de caractères obfusquées qui sont conçues pour rendre plus difficile l’analyse statique.
En outre, le programme d’installation de STASHLOG admet comme argument une charge utile de l’étape suivante, qui peut être organisée dans un fichier journal CLFS particulier.
De plus, le programme d’installation STASHLOG accepte comme argument une charge utile de niveau supérieur, dont le contenu est ensuite caché dans un fichier journal CLFS spécifique. PRIVATELOG utilise une technique connue sous le nom de détournement de l’ordre de recherche des DLL pour charger la bibliothèque malveillante.
Et comme STASHLOG, il commence ses opérations en listant les fichiers *.BLF dans le répertoire de profil de l’utilisateur par défaut, en utilisant le fichier ainsi que l’horodatage de la première date de création. L’équipe de sécurité déclare que le logiciel malveillant effectue toutes ces opérations avant de terminer le décryptage et de stocker la charge utile de deuxième étape.
Les organisations devraient appliquer les règles de YARA
L’équipe de recherche a formulé quelques recommandations pour éviter d’être victime. Selon Mandiant, les utilisateurs doivent utiliser les règles YARA lors de l’analyse des réseaux internes. L’objectif est de surveiller le réseau pour identifier toute trace de logiciel malveillant. Ils doivent également être à l’affût de tout indicateur potentiel de violation dans les événements « filewrite » ou « imageload » liés aux journaux du système EDR.
« Des règles permettant de détecter les conteneurs CLFS correspondant aux structures PRIVATELOG ou contenant des données cryptées sont également fournies », notent les chercheurs.
Cependant, ils ont averti que les organisations devraient tester correctement les règles avant de les exécuter dans un environnement de production.
Le CLFS est un sous-système de journalisation à usage général qui a été lancé avec Windows Server 2003 R2. Depuis lors, il est apparu avec les versions ultérieures des systèmes d’exploitation Windows.
Il fonctionne comme d’autres logiciels malveillants qui dépendent des attributs NTFS Extended ou du registre Windows pour dissimuler leurs données aux systèmes de sécurité des utilisateurs ciblés.
Les chercheurs de Mandiant ont également expliqué que le logiciel malveillant possède des attributs permettant de récupérer des données binaires avec l’API de Windows.
Les hackers utilisent ce logiciel malveillant pour abuser des privilèges du système Windows
Selon les chercheurs, le modèle PRIVATELOG est une DLL 64 bits non obfusquée appelée prntvpt.dll. Il comporte des exportations qui imitent les véritables fichiers prntvpt.dll. Les acteurs de la menace peuvent pirater les ordres de recherche utilisés lors du chargement des DLL pour charger le PRIVATELOG à partir de PrintConfig.dll.
Les chercheurs ont également déclaré que les acteurs de la menace peuvent abuser des privilèges accordés par le système Windows lors de la recherche des DLL requises pour les charger dans un programme.
Ils peuvent élever leurs privilèges ou établir une persistance en détournant les chargements de DLL, ce qui peut les aider à échapper aux restrictions lors de l’exécution du fichier ciblé.
