Бесфайловый зловред PRIVATELOG прячет полезную нагрузку в CLFS-файлах
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Бесфайловый зловред PRIVATELOG прячет полезную нагрузку в CLFS-файлах

Татьяна Никитина 06 Сентября 2021 - 15:58
...
Бесфайловый зловред PRIVATELOG прячет полезную нагрузку в CLFS-файлах

Эксперты Mandiant (дочка FireEye) проанализировали вредоносную программу, использующую необычный способ сохранения своего кода в памяти системных процессов. С этой целью зловред, получивший имя PRIVATELOG, и его инсталлятор STASHLOG используют контейнеры CLFS (Common Log File System, подсистемы журналирования общего назначения), содержимое которых недоступно для разбора средствами Windows и редко просматривается антивирусами.

Обычно бесфайловые Windows-зловреды используют для сокрытия от обнаружения возможности системного реестра, WMI или репозиторий CIM, доступные через различные API. С вредоносной полезной нагрузкой в файлах журнала CLFS эксперты, по их словам, столкнулись впервые.

Эта система Windows доступна как в режиме ядра, так и в пользовательском режиме приложений. Ее можно использовать для регистрации данных либо событий с целью хранения изменений состояния транзакции перед ее фиксацией. Соответствующие файлы программы создают, сохраняют и считывают с помощью отдельного API-интерфейса.

«Поскольку формат лог-файлов CLFS нечасто используют или указывают в техдокументации, современные парсеры не умеют их обрабатывать, — пишут аналитики в блоге Mandiant. —  Вредоносные данные, спрятанные в виде записей журнала, к тому же удобно использовать: они доступны через API».

Для защиты от статического анализа кода создатели PRIVATELOG и STASHLOG использовали также обфускацию, в том числе побайтовое шифрование.

 

При запуске и STASHLOG, и PRIVATELOG вначале отмечают все BLF-файлы в папке профиля пользователя и выбирают для использования объект с самой ранней датой создания. Инсталлятор получает целевую полезную нагрузку как аргумент и сохраняет содержимое в конкретный лог-файл CLFS. Код PRIVATELOG (64-битный prntvpt.dll) внедряется в память текущего процесса путем подмены порядка поиска DLL.

Конечная цель авторов нового зловреда пока неясна: в реальных атаках он пока не замечен и, по всей видимости, находится в стадии разработки. Не исключено, что его создал ради пробы какой-то ИБ-исследователь.

Способы защиты от новоявленной угрозы те же, что и от других зловредов: своевременный патчинг установленного ПО, мониторинг систем на наличие признаков вредоносной активности, использование почтовых антивирусов и тренинги для персонала. Аналитики также рекомендуют воспользоваться созданными в Mandiant правилами YARA для поиска признаков заражения STASHLOG и PRIVATELOG, а также регулярно просматривать логи EDR-систем на наличие IoC в записях о событиях process, imageload и filewrite.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Microsoft закрыла две 0-day в Defender, которые уже используют в атаках
Екатерина Быстрова 21 Мая 2026 - 20:43
Windows Microsoft Windows Defender ЭксплойтыУязвимости программ Домашние пользователиКорпорации Персональный антивирусБесплатные антивирусы Microsoft
Microsoft закрыла две 0-day в Defender, которые уже используют в атаках

Microsoft срочно выкатывает патчи для двух уязвимостей во встроенном антивирусе Defender, которые уже эксплуатируются в реальных кибератаках. Получается, тот самый защитник Windows сам оказался точкой входа для злоумышленников.

Первая уязвимость — CVE-2026-41091 — затрагивает движок Microsoft Malware Protection. Из-за ошибки при обработке ссылок перед доступом к файлам злоумышленник может повысить привилегии до SYSTEM.

Вторая проблема — CVE-2026-45498 — находится в Microsoft Defender Antimalware Platform. Её эксплуатация позволяет вызвать отказ в обслуживании на незащищённых Windows-устройствах. Проще говоря, систему можно уронить или привести в нерабочее состояние.

Microsoft выпустила патчи в версиях Malware Protection Engine 1.1.26040.8 и Antimalware Platform 4.18.26040.7. Компания утверждает, что большинству пользователей ничего делать не нужно: Defender обычно обновляет движок и платформу автоматически.

Но полностью полагаться на «оно само» — идея для смелых. Лучше открыть Безопасность Windows → Защита от вирусов и угроз → Обновления защиты и вручную проверить наличие апдейтов. Особенно если устройство рабочее, серверное или просто жаль его отдавать под эксперименты атакующих.

CISA уже добавила обе уязвимости в каталог Known Exploited Vulnerabilities и обязала федеральные ведомства США закрыть их до 3 июня.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
Сотрудники против: 52% компаний буксуют с переходом на тонкие клиенты
Новость
Сотрудники против: 52% компаний буксуют с переходом на тонки...
САКУРА 3.2 усилила безопасность и масштабирование для крупных инфраструктур
Новость
САКУРА 3.2 усилила безопасность и масштабирование для крупны...
В Android-смартфонах нашли аппаратную дыру с доступом через USB
Новость
В Android-смартфонах нашли аппаратную дыру с доступом через...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.