[영어기사-] This New Malware Family Using CLFS Log Files to Avoid Detection

This New Malware Family Using CLFS Log Files to Avoid Detection

https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html

This New Malware Family Using CLFS Log Files to Avoid Detection

 

부제목사용

-------------내용입력-----------

 

단어

뜻

 

6

PRIVATELOG and STASHLOG come with capabilities that allow the malicious software to linger on infected devices and avoid detection, including the use of obfuscated strings and control flow techniques that are expressly designed to make static analysis cumbersome. What's more, the STASHLOG installer accepts a next-stage payload as an argument, the contents of which are subsequently stashed in a specific CLFS log file.

PRIVATELOG와 STASHLOG는 정적 분석을 어렵게 만들기 위해 설계된 것이 분명한 난독화된 문자열과 제어 흐름 기술을 포함한 악성 소프트웨어가 감염된 디바이스에 남아 탐지를 피하는 기능을 제공한다. 또한, STASHLOG 설치 프로그램은 다음 단계의 페이로드를 인수로 받아들이고, 그 내용은 이후에 CLFS 로그 파일에 넣어진다.

linger

남다, 오래 머물다

obfuscate

혼란스럽게 만들다, 애매하게 만들다

expressly

크고 무거운, 다루기 힘든, 복잡하고 느린

subsequently

그 뒤에, 나중에

stash

넣어 두다, 숨기다

CLFS

Common Log File System, 공용 로그 파일 시스템, 커널 모드와 사용자 모드의 애플리케이션 모두에 액세스할 수 있는 범용 로깅 하위 시스템이다.

 

7

Fashioned as an un-obfuscated 64-bit DLL named "prntvpt.dll," PRIVATELOG, in contrast, leverages a technique called DLL search order hijacking in order to load the malicious library when it is called by a victim program, in this case, a service called "PrintNotify."

"prntvpt.dll" 이라는 이름의 난독화되지 않은 64-bit DLL로 만들어진 PRIVATELOG는 DLL 검색 순서 가로채기라 불리는 기술을 활용하여 희생자 프로그램에 의해 악성 라이브러리가 호출되었을 때 그것을 로드하고, 이번 경우에는 "PrintNotify"라는 서비스이다.

fashion

만들다

 

8

"Similarly to STASHLOG, PRIVATELOG starts by enumerating *.BLF files in the default user's profile directory and uses the .BLF file with the oldest creation date timestamp," the researchers noted, before using it to decrypt and store the second-stage payload.

"STASHLOG와 비슷하게, PRIVATELOG는 기본 사용자의 프로필 경로에 있는 *.BLF 파일을 열거하면서 시작하고 가장 오래된 생성일 시간 타임스탬프의 .BLF 파일을 사용한다,"라고 다음 단계의 페이로드를 복호화하고 판매하는 데 사용하기 전에 연구자들이 언급했다.

enumerate

열거하다

 

9

Mandiant recommends that organizations apply YARA rules to scan internal networks for signs of malware and watch out for potential Indicators of Compromise (IoCs) in "process", "imageload" or "filewrite" events associated with endpoint detection and response (EDR) system logs.

Mandiant는 조직들이 YARA 룰으로 인터넷 네트워크에서 악성코드의 시그니처를 스캔하고 엔드포인트 탐지 및 응답(EDR) 시스템 로그와 관련된 "프로세스", "이미지 로드", 또는 "파일 작성" 이벤트에서 잠재적인 침해 지표(IoCs)를 조심할 것을 권고했다. 

Indicators of Compromises (IoCs)

침해 지표, 시스템 또는 네트워크에서 잠재적인 악의적 활동을 식별하는 시스템 로그 항목, 또는 파일에서 발견된 데이터와 같은 포렌식 데이터의 조각이다. 데이터 침해, 멀웨어 감염 등의 위협 활동을 감지하는 데 도움이 된다.

Endpoint Detection and Response (EDR)

엔드포인트 탐지 및 응답은 엔드포인트 데이터의 실시간 연속 모니터링 및 수집과 규칙 기반 자동 응답 및 분석 기능을 결합한 통합 엔드포인트 보안 솔루션이다.

 

Words

linger

남다, 오래 머물다

obfuscate

혼란스럽게 만들다, 애매하게 만들다

expressly

크고 무거운, 다루기 힘든, 복잡하고 느린

subsequently

그 뒤에, 나중에

stash

넣어 두다, 숨기다

CLFS

Common Log File System, 공용 로그 파일 시스템, 커널 모드와 사용자 모드의 애플리케이션 모두에 액세스할 수 있는 범용 로깅 하위 시스템이다.

fashion

만들다

enumerate

열거하다

Indicators of Compromises (IoCs)

침해 지표, 시스템 또는 네트워크에서 잠재적인 악의적 활동을 식별하는 시스템 로그 항목, 또는 파일에서 발견된 데이터와 같은 포렌식 데이터의 조각이다. 데이터 침해, 멀웨어 감염 등의 위협 활동을 감지하는 데 도움이 된다.

Endpoint Detection and Response (EDR)

엔드포인트 탐지 및 응답은 엔드포인트 데이터의 실시간 연속 모니터링 및 수집과 규칙 기반 자동 응답 및 분석 기능을 결합한 통합 엔드포인트 보안 솔루션이다.