Keluarga Malware Baru Menggunakan File Log CLFS Untuk Menghindari Deteksi

  • Whatsapp
Keluarga Malware Baru Menggunakan File Log CLFS Untuk Menghindari Deteksi
Keluarga Malware Baru Menggunakan File Log CLFS Untuk Menghindari Deteksi
Keluarga Malware Baru Menggunakan File Log CLFS Untuk Menghindari Deteksi

Peneliti keamanan siber dari tim Mandiant Advanced Practices FireEye telah mengungkapkan semua detail mengenai keluarga malware baru yang telah mereka deteksi baru-baru ini.

Malware ini bergantung pada Common Log File System (CLFS) untuk menutupi muatan tahap kedua dalam file transaksi registri sehingga mereka dapat dengan mudah menghindari mekanisme deteksi.

Pakar keamanan dari FireEye dilaporkan bahwa malware tersebut disebut PRIVATELOG, dan penginstalnya, STASHLOG. Mereka umumnya merinci integritas penjahat dunia maya, tetapi motif utama pelaku ancaman belum jelas.

CLFS dan File Transaksi

CLFS adalah kerangka kerja logging yang telah diproduksi dan diterbitkan oleh Microsoft di Windows Vista dan Windows Server 2003 R2 untuk eksekusi yang hebat. Kerangka kerja logging ini biasanya membuat aplikasi bersama dengan fungsi API yang dimungkinkan di clfsw32.dll untuk membuat, menyimpan, dan membaca data log.

Di sisi lain, CLFS secara mencolok digunakan oleh Manajer Transaksi Kernel (KTM) untuk operasi NTFS Transaksional (TxF) maupun Registry Transaksional (TxR).

Transaksi ini memungkinkan aplikasi untuk menerapkan beberapa perubahan baik pada sistem file atau dalam registri. Namun, semuanya diatur dalam satu transaksi yang dapat dengan mudah dilakukan atau dibatalkan.

Kebingungan Malware

Menurut laporan investigasi, hampir semua string yang digunakan oleh PRIVATE LOG dan STASHLOG dikaburkan, tetapi poin penting adalah bahwa metode yang telah diamati dalam malware sangat jarang.

Pakar keamanan telah menyatakan bahwa metode ini mengandalkan XOR’ing setiap byte dengan inline byte hard-coded, yang tidak memiliki loop khusus, oleh karena itu setiap string dari malware ini dienkripsi dengan aliran byte yang unik.

Menyimpan Payload

Setelah peluncuran, penginstal membuka dan mendekripsi seluruh konten file yang telah ditransfer sebagai pertikaian.

Tidak hanya itu, tetapi juga mengonfirmasi bahwa file telah diberi akhiran oleh hash SHA1-nya, dan kemudian membuat nilai 56-byte yang sama hanya dengan menggunakan string GUID GlobalAtom yang dikumpulkan dalam memori sistem.

Namun, nilai 56-byte adalah SHA1 yang telah di-hash dan 16-byte pertama telah membentuk vektor inisialisasi (IV). Namun, kunci utamanya adalah nilai MachineGUID 16-byte dari registri host, dan algoritma enkripsinya adalah HC-128, yang sangat jarang digunakan oleh pelaku ancaman.

Ke PRIVATELOG

Selain itu, analis keamanan Mandiant adalah DLL 64-bit yang tidak dikaburkan bernama prntvpt.dll dan terdiri dari ekspor, yang mensimulasikan file prntvpt.dll yang sah. PRIVATELOG biasanya dimuat dari PrintConfig.dll, yang merupakan pusat DLL dari layanan yang dijelaskan PrintNotify, melalui pembajakan perintah pencarian DLL.

Tidak hanya itu tetapi PRIVATELOG tentu saja menggunakan cara yang sangat unik untuk mengeksekusi muatan DLL, dan sesuai laporan yang diandalkan oleh muatan NTFS transaksi.

Jadi, itulah mengapa mereka menyarankan bahwa organisasi harus menerapkan aturan YARA untuk memindai jaringan internal mereka, karena ini akan memberi tahu Anda apakah ada malware di dalamnya atau tidak.

Tidak hanya itu, tetapi juga membantu untuk mewaspadai potensi Indikator Kompromi (IoCs) dalam peristiwa “metode”, “pemuatan gambar” atau “penulisan file” yang terkait dengan log sistem deteksi dan respons titik akhir (EDR).

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *