Бесфайловый зловред PRIVATELOG прячет полезную нагрузку в CLFS-файлах

Татьяна Никитина 06 Сентября 2021 - 15:58

Домашние пользователи

...

Эксперты Mandiant (дочка FireEye) проанализировали вредоносную программу, использующую необычный способ сохранения своего кода в памяти системных процессов. С этой целью зловред, получивший имя PRIVATELOG, и его инсталлятор STASHLOG используют контейнеры CLFS (Common Log File System, подсистемы журналирования общего назначения), содержимое которых недоступно для разбора средствами Windows и редко просматривается антивирусами.

Обычно бесфайловые Windows-зловреды используют для сокрытия от обнаружения возможности системного реестра, WMI или репозиторий CIM, доступные через различные API. С вредоносной полезной нагрузкой в файлах журнала CLFS эксперты, по их словам, столкнулись впервые.

Эта система Windows доступна как в режиме ядра, так и в пользовательском режиме приложений. Ее можно использовать для регистрации данных либо событий с целью хранения изменений состояния транзакции перед ее фиксацией. Соответствующие файлы программы создают, сохраняют и считывают с помощью отдельного API-интерфейса.

«Поскольку формат лог-файлов CLFS нечасто используют или указывают в техдокументации, современные парсеры не умеют их обрабатывать, — пишут аналитики в блоге Mandiant. — Вредоносные данные, спрятанные в виде записей журнала, к тому же удобно использовать: они доступны через API».

Для защиты от статического анализа кода создатели PRIVATELOG и STASHLOG использовали также обфускацию, в том числе побайтовое шифрование.

При запуске и STASHLOG, и PRIVATELOG вначале отмечают все BLF-файлы в папке профиля пользователя и выбирают для использования объект с самой ранней датой создания. Инсталлятор получает целевую полезную нагрузку как аргумент и сохраняет содержимое в конкретный лог-файл CLFS. Код PRIVATELOG (64-битный prntvpt.dll) внедряется в память текущего процесса путем подмены порядка поиска DLL.

Конечная цель авторов нового зловреда пока неясна: в реальных атаках он пока не замечен и, по всей видимости, находится в стадии разработки. Не исключено, что его создал ради пробы какой-то ИБ-исследователь.

Способы защиты от новоявленной угрозы те же, что и от других зловредов: своевременный патчинг установленного ПО, мониторинг систем на наличие признаков вредоносной активности, использование почтовых антивирусов и тренинги для персонала. Аналитики также рекомендуют воспользоваться созданными в Mandiant правилами YARA для поиска признаков заражения STASHLOG и PRIVATELOG, а также регулярно просматривать логи EDR-систем на наличие IoC в записях о событиях process, imageload и filewrite.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 08:54

Соответствие законодательству РФ Корпорации Государство

Российское ПО с начала года подорожало на 10-20%

Цены на российское ПО с начала 2026 года выросли на 10–20%. Это связано с сохраняющейся высокой ключевой ставкой Банка России, ростом налоговой нагрузки и затрат на персонал, а также с резким подорожанием оборудования. В среднем рост цен составил 10–20%, но по отдельным направлениям он может быть и выше.

Такую оценку привёл «Коммерсантъ» на основе анализа изменений в предложениях ИТ-компаний и интеграторов.

«В отдельных сегментах — нишевые ИТ-решения, ИБ, инфраструктурное ПО — рост цен достигает 30%, особенно там, где ограниченная конкуренция. Базовое ПО прибавило 10–15% к стоимости лицензий и поддержки, сложные и дефицитные решения — 15–25%», — прокомментировал ситуацию на рынке ИТ-директор «СКБ Контур» Артём Прескарьян.

Среди основных причин подорожания участники рынка называют сохраняющийся высокий уровень ключевой ставки Банка России, рост налоговой нагрузки и расходов на персонал, а также продолжающийся рост цен на ИТ-оборудование и комплектующие. Так, стоимость некоторых видов серверного оборудования за год удвоилась. Дополнительное влияние оказали ужесточение требований со стороны заказчиков и низкий уровень конкуренции в ряде ниш.

При этом, по мнению директора департамента e-commerce ГК «КОРУС Консалтинг» Марии Бар-Бирюковой, часть компаний начала превентивно повышать цены ещё осенью, когда стало известно об отмене льгот для ИТ-отрасли. Это вызвало эффект «инфляции ожиданий»: некоторые вендоры заранее заложили в стоимость продуктов возможные потери из-за роста налоговой нагрузки. Однако после отмены наиболее жёсткой меры — лишения отрасли льгот по НДС — значительного скачка цен удалось избежать.

Директор практики «Технологическая трансформация» «Рексофт Консалтинг» Алексей Богомолов назвал важным фактором роста цен на ПО подорожание ИТ-оборудования, прежде всего серверного. Это общемировой процесс, вызванный перераспределением спроса на различные виды памяти на фоне бума искусственного интеллекта.

Директор по развитию ИИ «Группы Астра» Станислав Ежов назвал такую ситуацию серьёзным вызовом для всей отрасли центров обработки данных:

«Для дата-центров это прямой удар по себестоимости сразу с трёх сторон: дорожает оборудование, растут тарифы на электроэнергию, дорожает строительство. Часть операторов уже подняли тарифы, и это будет продолжаться».

Ситуацию осложняет и то, что значительная часть ЦОД, как напомнил Станислав Ежов, работает на оборудовании с истекающим ресурсом, которое необходимо срочно заменять. Это уже приводит к массовым отказам техники.

В комментарии для издания Минцифры сообщило, что выступает за саморегулирование в сфере ценообразования. При этом ведомство оставляет за собой возможность при необходимости применять дополнительные инструменты регулирования.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!