DEPLOYLOG Rosszindulatú program
A DEPLOYLOG egy rosszindulatú eszköz neve, amely a Winnti fejlett állandó fenyegetési szereplőjéhez kapcsolódik.
A Winnti csoport APT41 néven is ismert, és feltételezhető, hogy egy kínai állam által támogatott fenyegetési szereplő, aki számítógépes kémkedéssel foglalkozik.
A DEPLOYLOG egy új eszköz a Winnti csoport rosszindulatú szoftverek eszköztárában. Az eszközt a Cyberreasonnal dolgozó biztonsági kutatók által nyomon követett támadásoknál használták.
A rosszindulatú program képes visszaélni a Windows operációs rendszer CLFS vagy "közös naplófájlrendszer" funkciójával. A kizsákmányolás ritkán látható, és kivonja a CLFS-ben tárolt adatokat, majd telepít egy rosszindulatú WINNKIT rootkit illesztőprogramot, amely szintén a Winnti csoport által használt egyéni eszköz, és kernelként működik.
A DEPLOYLOG számos más egyéni rosszindulatú eszközzel együtt használatos a Winnti arzenáljában, beleértve a Spydert – egy hátsó ajtó eszközt, a STASHLOG-ot – a rosszindulatú rakományok tárolására szolgáló eszközt a Windows CLFS-en belül, a SparkLOG-ot és a PRIVATELOG-ot – két, egymással együttműködő eszközzel és végül a WINNKIT-tel. - a rosszindulatú kernel.
A DEPLOYLOG egy új eszköz, amely a Winnti arzenáljába került. A DEPLOYLOG-ot használó kampányokban használt támadási vektor egyedülálló tulajdonsága, hogy a hackerek arra összpontosítanak, hogy visszaéljenek egy legitim Windows-funkcióval, és abban tárolják titkosított rosszindulatú rakományukat.
A DEPLOYLOG-ot használó támadások többlépcsősek, és összetett folyamatokat, többlépcsős kötegfájlokat, rosszindulatú DLL-fájlok oldalsó betöltését legitim Windows-szolgáltatásokon keresztül, valamint a Windows rendszerleíró adatbázisának manipulálását foglalják magukban az áldozat rendszerének veszélyeztetése érdekében. A DEPLOYLOG csak egy a számos eszköz közül, amelyeket a Winnti használ a WINNKIT rootkitet a megcélzott rendszerbe ültetésére.