Бесфайловый зловред PRIVATELOG прячет полезную нагрузку в CLFS-файлах

Татьяна Никитина 06 Сентября 2021 - 15:58

Домашние пользователи

...

Эксперты Mandiant (дочка FireEye) проанализировали вредоносную программу, использующую необычный способ сохранения своего кода в памяти системных процессов. С этой целью зловред, получивший имя PRIVATELOG, и его инсталлятор STASHLOG используют контейнеры CLFS (Common Log File System, подсистемы журналирования общего назначения), содержимое которых недоступно для разбора средствами Windows и редко просматривается антивирусами.

Обычно бесфайловые Windows-зловреды используют для сокрытия от обнаружения возможности системного реестра, WMI или репозиторий CIM, доступные через различные API. С вредоносной полезной нагрузкой в файлах журнала CLFS эксперты, по их словам, столкнулись впервые.

Эта система Windows доступна как в режиме ядра, так и в пользовательском режиме приложений. Ее можно использовать для регистрации данных либо событий с целью хранения изменений состояния транзакции перед ее фиксацией. Соответствующие файлы программы создают, сохраняют и считывают с помощью отдельного API-интерфейса.

«Поскольку формат лог-файлов CLFS нечасто используют или указывают в техдокументации, современные парсеры не умеют их обрабатывать, — пишут аналитики в блоге Mandiant. — Вредоносные данные, спрятанные в виде записей журнала, к тому же удобно использовать: они доступны через API».

Для защиты от статического анализа кода создатели PRIVATELOG и STASHLOG использовали также обфускацию, в том числе побайтовое шифрование.

При запуске и STASHLOG, и PRIVATELOG вначале отмечают все BLF-файлы в папке профиля пользователя и выбирают для использования объект с самой ранней датой создания. Инсталлятор получает целевую полезную нагрузку как аргумент и сохраняет содержимое в конкретный лог-файл CLFS. Код PRIVATELOG (64-битный prntvpt.dll) внедряется в память текущего процесса путем подмены порядка поиска DLL.

Конечная цель авторов нового зловреда пока неясна: в реальных атаках он пока не замечен и, по всей видимости, находится в стадии разработки. Не исключено, что его создал ради пробы какой-то ИБ-исследователь.

Способы защиты от новоявленной угрозы те же, что и от других зловредов: своевременный патчинг установленного ПО, мониторинг систем на наличие признаков вредоносной активности, использование почтовых антивирусов и тренинги для персонала. Аналитики также рекомендуют воспользоваться созданными в Mandiant правилами YARA для поиска признаков заражения STASHLOG и PRIVATELOG, а также регулярно просматривать логи EDR-систем на наличие IoC в записях о событиях process, imageload и filewrite.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 21:28

GenAI (генеративный искусственный интеллект) Общее BI.ZONE

Киберпреступники распробовали ИИ: число атак выросло почти вдвое

Злоумышленники резко нарастили интерес к искусственному интеллекту. По данным BI.ZONE, в 2025 году количество целевых атак с применением ИИ выросло на 93%, а с начала 2026 года — ещё в три раза. Специалисты BI.ZONE Threat Intelligence и BI.ZONE Digital Risk Protection изучили более 7400 сообщений на теневых форумах и выяснили: тема ИИ у киберпреступников больше не выглядит экзотикой.

Если раньше такие обсуждения встречались единично, то теперь отдельные ветки есть минимум на семи площадках.

Главный хит подпольных обсуждений — обход ограничений публичных ИИ-моделей. На эту тему приходится 77% публикаций. Злоумышленники делятся готовыми промптами и инструкциями, пытаясь заставить популярные модели генерировать вредоносный код или помогать в подготовке атак.

Всплеск интереса пришёлся на конец 2025-го и начало 2026 года, когда вышли новые версии крупных моделей. Но реальность пока холодно щёлкает энтузиастов по носу: код, полученный через такие «обманутые» модели, часто содержит ошибки и просто не работает. Впрочем, опытный атакующий может использовать отдельные фрагменты как заготовку.

На втором месте — нецензурируемые ИИ-модели, созданные специально под задачи злоумышленников. Им посвящены 22% сообщений. Часть таких решений бесплатна, часть продаётся по подписке — от 6 до 990 долларов в месяц.

Но и тут магии не случилось. Тесты BI.ZONE показали, что ни одна из популярных моделей без ограничений пока не выдаёт готовый рабочий инструмент для атаки. Максимум — помогает ускорить рутину тем, кто и так понимает, что делает.

Около 1% сообщений касается попыток автоматизировать полный цикл кибератаки: от разведки до социальной инженерии. ИИ действительно может ускорять поиск целей, писать фишинговые тексты, генерировать дипфейки и помогать с кодом. Но полностью заменить человека он пока не способен.

Ирония в том, что на подпольном рынке уже начали хвастаться обратным: мол, наше вредоносное приложение написано без вайбкодинга и без ИИ. Видимо, даже киберпреступники поняли, что сгенерировано нейросетью — не всегда знак качества.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!