部署日志恶意软件

DEPLOYLOG 是与 Winnti 高级持续威胁参与者相关的恶意工具的名称。

Winnti 组织也被称为 APT41，据信是中国国家支持的威胁行为者，从事网络间谍活动。

DEPLOYLOG 是 Winnti 小组的恶意软件工具包中的一个新工具。该工具被用于与 Cyberreason 合作的安全研究人员跟踪的攻击中。

该恶意软件能够滥用 Windows 操作系统的 CLFS 或“通用日志文件系统”功能。该漏洞利用很少见，提取存储在 CLFS 中的数据，然后部署恶意 WINNKIT rootkit 驱动程序，该驱动程序也是 Winnti 组使用的自定义工具并充当内核。

DEPLOYLOG 与 Winnti 武器库中的许多其他自定义恶意工具结合使用，包括 Spyder - 后门工具、STASHLOG - 用于在 Windows CLFS 中存储恶意有效负载的工具、SPARKLOG 和 PRIVATELOG - 两个工具协同工作，最后是 WINNKIT - 恶意内核。

DEPLOYLOG 是一个添加到 Winnti 库中的新工具。在使用 DEPLOYLOG 的活动中使用的攻击向量的一个独特功能是黑客专注于滥用合法的 Windows 功能并将其加密的恶意负载存储在其中。

使用 DEPLOYLOG 的攻击是多步骤的，涉及复杂的过程、多阶段的批处理文件、通过合法的 Windows 服务侧加载恶意 DLL 文件以及操纵 Windows 注册表以危及受害系统。 DEPLOYLOG 只是 Winnti 尝试在目标系统中植入 WINNKIT rootkit 时使用的几个工具之一。