这个新的恶意软件家族使用CLFS日志文件来避免检测

网络安全研究人员披露了一个新的恶意软件家族的详细信息，该家族依靠通用日志文件系统（CLFS）在注册表事务文件中隐藏第二阶段有效载荷，试图逃避检测机制。

FireEye的Mandiant高级实践团队发现了该恶意软件，并将其命名为恶意软件私密，及其安装程序，储藏室.关于威胁行为人的身份或动机的细节尚不清楚。

尽管在针对客户环境的实际攻击中尚未检测到该恶意软件，或在启动任何第二阶段有效载荷时被发现，但Mandiant怀疑PRIVATELOG可能仍在开发中，由研究人员完成，或作为高度针对性活动的一部分部署。

CLFS是Windows中的一个通用日志子系统，可供内核模式和用户模式应用程序（如数据库系统、OLTP系统、消息传递客户端和网络事件管理系统）访问，以构建和共享高性能事务日志。

Mandiant研究人员在本周发表的一篇文章中解释说：“由于文件格式没有得到广泛使用或记录，因此没有可用的工具可以解析CLFS日志文件。”。“这使攻击者有机会以方便的方式将其数据隐藏为日志记录，因为这些数据可以通过API函数访问。”

PRIVATELOG和STASHLOG具有允许恶意软件在受感染设备上逗留并避免检测的功能，包括使用模糊字符串和控制流技术，这些技术专门设计用于使静态分析变得繁琐。此外，STASHLOG安装程序接受下一阶段的有效负载作为参数，其内容随后被隐藏在特定的CLFS日志文件中。

相比之下，PRIVATELOG是一个名为“prntvpt.DLL”的未模糊64位DLL，它利用了一种称为DLL搜索顺序劫持的技术，以便在被受害者程序调用时加载恶意库，在本例中是一种名为“PrintNotify”的服务

研究人员指出，“与STASHLOG类似，PRIVATELOG从枚举默认用户配置文件目录中的*.BLF文件开始，并使用具有最早创建日期时间戳的.BLF文件，”然后使用它解密和存储第二阶段的有效负载。

Mandiant建议各组织应用YARA规则扫描内部网络，以寻找恶意软件的迹象，并在与端点检测和响应（EDR）系统日志相关的“进程”、“图像加载”或“文件写入”事件中，留意潜在的危害指标（IOC）。