상세 컨텐츠

본문 제목

CLFS 로그 파일을 통해 탐지를 피하는 새로운 악성코드 패밀리 발견

국내외 보안동향

by 알약4 2021. 9. 6. 09:00

본문

 

 

This New Malware Family Using CLFS Log Files to Avoid Detection

 

연구원들이 탐지 메커니즘을 피하기 위해 CLFS(Common Log File System)를 사용하여 레지스트리 트랜잭션 파일에서 2단계 페이로드를 숨기는 악성코드 패밀리에 대한 자세한 정보를 공개했습니다.

 

이를 발견한 FireEye Mandiant Advanced Practices 팀은 해당 악성코드를 PRIVATELOG, 인스톨러를 STASHLOG라 명명했습니다. 공격자의 신원이나 동기에 대한 자세한 사항은 아직까지 명확히 밝혀지지 않았습니다.

 

이 악성코드는 아직까지 실제 공격에서 탐지되지 않았으며 2단계 페이로드를 시작하는 것이 발견되지는 않았지만, Mandiant PRIVATELOG가 아직 개발 단계이거나, 연구원의 작업이거나, 고도의 타깃 공격에 사용되는 것으로 추측했습니다.

 

CLFS는 윈도우의 범용 로깅 서브 시스템으로 데이터베이스 시스템, OLTP 시스템, 메시징 클라이언트, 네트워크 이벤트 관리 시스템 등 커널모드 및 유저모드 애플리케이션에 모두 액세스 가능합니다.

 

Mandiant 연구원들은 아래와 같이 설명했습니다.

 

"해당 파일 형식이 널리 사용되거나 문서화되지 않았기 때문에, CLFS 로그 파일을 파싱 가능한 툴이 없습니다. 이는 API 기능을 통해 액세스 가능하기 때문에 공격자가 쉽게 자신의 데이터를 로그 레코드로 숨길 수 있는 기회를 얻게 됩니다."

 

 

<이미지 출처 : https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html>

 

 

PRIVATELOG STASHLOG는 난독화된 문자열 사용, 정적 분석을 복잡하게 만들기 위해 설계된 제어 흐름 기술 등 악성 소프트웨어가 감염 기기에서 오랫동안 머무르며 탐지를 피할 수 있는 기능이 포함되어 있습니다.

 

또한 STASHLOG 인스톨러는 다음 단계 페이로드를 인수로 수락하며, 이후 해당 내용은 특정 CLFS 로그 파일에 숨겨집니다.

 

반면 난독화되지 않은 64비트 DLL"prntvpt.dll"로 구성된 PRIVATELOG DLL 검색 순서 하이재킹 기술을 통해 피해자 프로그램에 의해 호출될 때 악성 라이브러리를 로드합니다. 분석된 사례에서는 "PrintNotify"라는 서비스입니다.

 

"PRIVATELOGSTASHLOG와 유사하게 기본 사용자의 프로필 디렉토리에 있는 *.BLF 파일을 나열하는 것으로 시작하고 생성 날짜가 가장 오래된 .BLF 파일을 사용합니다."

 

Mandiant는 조직에 YARA 규칙을 적용하여 내부 네트워크에서 악성코드 감염 여부를 검사하고 EDR(Endpoint Detection and Response) 시스템 로그와 관련된 "프로세스", "이미지 로드", "파일 쓰기" 이벤트에서 침해 지표(IoC)가 발견되는지 주의할 것을 권장했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.37521231’으로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html

https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html

관련글 더보기

댓글 영역