PRIVATELOG dhe instaluesi i tij STASHLOG filluan të përdorin Common Log File System për të ruajtur ngarkesën dytësore, thonë studiuesit Mandiant.
Studiuesit kohët e fundit zbuluan një familje të re malware memory-resident malware ata thonë se përdorin një qasje unike dhe të fshehtë për t’u fshehur nga mjetet e zbulimit të kërcënimit.
Ekipi i praktikave të përparuara të FireEye’s Mandiant-i cili e quajti malware PRIVATELOG dhe instaluesin e tij, STASHLOG-thotë se nuk ka vërejtur malware në asnjë network klientësh. Sidoqoftë, malware është i rëndësishëm për shkak të teknikës së re që përdor për të provuar dhe për të qëndruar e pazbuluar në cache të sistemit të infektuara.
Malware pa skedarë zakonisht ekzekutohet në memorje, ndryshe nga malware që gjurmë në disk dhe për këtë arsye zbulohet më lehtë përmes antivirus-ve.
“Këto teknika pa skedarë nuk lënë gjurmë drejtpërdrejt në disk në kuptimin tradicional, por përdorin Windows storage, për të ruajtur ngarkesën,” thotë Blaine Stancill. Storage janë të arritshëm përmes Windows API të ndryshme , duke i bërë të lehtë për t’u përdorur nga perspektiva e një malwari, por e vështirë për t’u analizuar nga perspektiva e një mbrojtësi, pasi zakonisht përdorin struktura të padokumentuara.
Zakonisht, vendet e preferuara për ruajtjen e malware pa skedarë përfshijnë Windows Registry, Windows Management Instrumentation (WMI) dhe Common Information Model (CIM). Por STASHLOG dhe PRIVATELOG janë të ndryshëm sepse përdorin ato që njihen si Common Log File System (CLFS) për të ruajtur ngarkesa të dëmshme. Këto janë hapsira që Windows përdor për të ruajtur përkohësisht të dhënat për t operacionet me volum të lartë.
“STASHLOG zgjedh CLFS të disponueshme dhe fut të dhëna në të në të njëjtën mënyrë si Windows, duke përdorur API -të CLFS,” . Kjo lejon që ngarkesa të ruhet pa krijuar ndonjë skedar të ri në sistem.
Sipas studiuesëve të sigurisë, STASHLOG dhe PRIVATELOG janë mostrat e para të njohura të malware që përdorin CLFS si vend për ruajtjen e ngarkesave malware në thelb duke e bërë atë një teknikë të re pa skedarë.
Matthew Dunwoody, studiues kryesor në Mandiant, thotë se taktika e re është domethënëse sepse zgjerohet në numrin e teknikave të përdorura për ruajtjen e malware pa skedarë. “Nëse mbrojtësit nuk janë të vetëdijshëm për këtë teknikë, ata mund të mos jenë në gjendje të gjejnë në mënyrë efektive të dhënat e fshehura ose t’i përgjigjen plotësisht aktivitetit,” thotë Dunwoody.
Këto teknika gjithashtu mund të komplikojnë skanimin me mjete antivirus, pasi vendi i ruajtjes mund të mos skanohet, ose teknika e ruajtjes mund të ndryshojë formatin e të dhënave.
Mjetet malware pa skedarë janë bërë një komponent pothuajse standard i attacker toolkits këto ditë.
Watchguard Technologies lëshoi një raport në fillim të këtij viti bazuar në një analizë të të dhënave të inteligjencës së kërcënimit të fundit, i cili gjeti një rritje marramendëse prej 900% në përdorimin e malware pa skedarë në sulmet e pikës përfundimtare midis 2019 dhe 2020. Studimi zbuloi se sulmuesit po përdorin mjete të tilla si Cobalt Strike dhe PowerSploit për të injektuar kod me qëllim të keq në proceset e funksionimit dhe të mbetet operacional edhe nëse skripti origjinal identifikohet dhe hiqet.
Rekomandimet e zakonshme për zbutjen e rrezikut ndaj një rrjeti zbatohen edhe për malware pa skedarë, thotë Dunwoody. Kjo përfshin arnimin për të zbutur dobësitë, menaxhimin e rrezikut të phishing, si dhe sistemeve të edukimit dhe monitorimit për veprimtarinë me qëllim të keq.
