部署日誌惡意軟件
DEPLOYLOG 是與 Winnti 高級持續威脅參與者相關的惡意工具的名稱。
Winnti 組織也被稱為 APT41,據信是中國國家支持的威脅行為者,從事網絡間諜活動。
DEPLOYLOG 是 Winnti 小組的惡意軟件工具包中的一個新工具。該工具被用於與 Cyberreason 合作的安全研究人員跟踪的攻擊中。
該惡意軟件能夠濫用 Windows 操作系統的 CLFS 或“通用日誌文件系統”功能。該漏洞利用很少見,提取存儲在 CLFS 中的數據,然後部署惡意 WINNKIT rootkit 驅動程序,該驅動程序也是 Winnti 組使用的自定義工具並充當內核。
DEPLOYLOG 與 Winnti 武器庫中的許多其他自定義惡意工具結合使用,包括 Spyder - 後門工具、STASHLOG - 用於在 Windows CLFS 中存儲惡意有效負載的工具、SPARKLOG 和 PRIVATELOG - 兩個工具協同工作,最後是 WINNKIT - 惡意內核。
DEPLOYLOG 是一個添加到 Winnti 庫中的新工具。在使用 DEPLOYLOG 的活動中使用的攻擊向量的一個獨特功能是黑客專注於濫用合法的 Windows 功能並將其加密的惡意負載存儲在其中。
使用 DEPLOYLOG 的攻擊是多步驟的,涉及復雜的過程、多階段的批處理文件、通過合法的 Windows 服務側加載惡意 DLL 文件以及操縱 Windows 註冊表以危及受害系統。 DEPLOYLOG 只是 Winnti 嘗試在目標系統中植入 WINNKIT rootkit 時使用的幾個工具之一。