部署日志恶意软件
DEPLOYLOG 是与 Winnti 高级持续威胁参与者相关的恶意工具的名称。
Winnti 组织也被称为 APT41,据信是中国国家支持的威胁行为者,从事网络间谍活动。
DEPLOYLOG 是 Winnti 小组的恶意软件工具包中的一个新工具。该工具被用于与 Cyberreason 合作的安全研究人员跟踪的攻击中。
该恶意软件能够滥用 Windows 操作系统的 CLFS 或“通用日志文件系统”功能。该漏洞利用很少见,提取存储在 CLFS 中的数据,然后部署恶意 WINNKIT rootkit 驱动程序,该驱动程序也是 Winnti 组使用的自定义工具并充当内核。
DEPLOYLOG 与 Winnti 武器库中的许多其他自定义恶意工具结合使用,包括 Spyder - 后门工具、STASHLOG - 用于在 Windows CLFS 中存储恶意有效负载的工具、SPARKLOG 和 PRIVATELOG - 两个工具协同工作,最后是 WINNKIT - 恶意内核。
DEPLOYLOG 是一个添加到 Winnti 库中的新工具。在使用 DEPLOYLOG 的活动中使用的攻击向量的一个独特功能是黑客专注于滥用合法的 Windows 功能并将其加密的恶意负载存储在其中。
使用 DEPLOYLOG 的攻击是多步骤的,涉及复杂的过程、多阶段的批处理文件、通过合法的 Windows 服务侧加载恶意 DLL 文件以及操纵 Windows 注册表以危及受害系统。 DEPLOYLOG 只是 Winnti 尝试在目标系统中植入 WINNKIT rootkit 时使用的几个工具之一。