Nowa rodzina złośliwego oprogramowania wykorzystuje pliki logów CLFS
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  darknethakerhakingcyberatak

Nowa rodzina złośliwego oprogramowania wykorzystuje pliki logów CLFS

Naukowcy zajmujący się cyberbezpieczeństwem ujawnili szczegóły dotyczące nowej rodziny złośliwego oprogramowania wykorzystującej logi CLFS.

Naukowcy zajmujący się cyberbezpieczeństwem ujawnili szczegóły dotyczące nowej rodziny złośliwego oprogramowania. Wykorzystuje Common Log File System (CLFS) do ukrywania ładunku drugiego stopnia w plikach transakcji rejestru. Próbując w ten sposób uniknąć mechanizmów wykrywania. 

Zespół Mandiant Advanced Practices firmy FireEye, który dokonał odkrycia, nazwał złośliwe oprogramowanie PRIVATELOG, a jego instalator – STASHLOG. Szczegóły dotyczące tożsamości sprawców zagrożenia lub ich motywów pozostają niejasne. 

Chociaż złośliwe oprogramowanie nie zostało jeszcze wykryte w rzeczywistych atakach na środowiska klientów ani nie zauważono, że uruchamia ono ładunki drugiego stopnia, Mandiant podejrzewa, że PRIVATELOG może być nadal w fazie rozwoju, być dziełem badacza lub zostać wdrożony jako część wysoce ukierunkowanego działania.

Charakterystyka CLFS

CLFS to podsystem logowania ogólnego przeznaczenia w systemie Windows. Dostępny jest zarówno dla aplikacji w trybie jądra, jak i w trybie użytkownika. Dla systemów baz danych, systemów OLTP, klienckich komunikatorów i systemów zarządzania zdarzeniami sieciowymi. Służy do tworzenia i udostępniania wysokowydajnych dzienników transakcji. 

“Ponieważ format pliku nie jest powszechnie używany ani udokumentowany, nie ma dostępnych narzędzi, które potrafią wyświetlać pliki logów CLFS” – wyjaśniają badacze z firmy Mandiant w opublikowanym w tym tygodniu opracowaniu. “Daje to atakującym możliwość wygodnego ukrycia swoich danych jako zapisów logów, ponieważ są one dostępne poprzez funkcje API”.

PRIVATELOG i STASHLOG

PRIVATELOG i STASHLOG dysponują funkcjami, które pozwalają złośliwemu oprogramowaniu pozostawać na zainfekowanych urządzeniach i unikać wykrycia. Wykorzystują do tego zaciemnione łańcuchy i techniki przepływu sterowania. Zaprojektowane są tak, aby analiza statyczna była uciążliwa. Co więcej, instalator STASHLOG przyjmuje jako argument payload następnego etapu, którego zawartość jest następnie umieszczana w określonym pliku dziennika CLFS. 

Z kolei PRIVATELOG, stworzony jako niezaciemniona 64-bitowa biblioteka DLL o nazwie “prntvpt.dll”. Wykorzystuje technikę zwaną DLL search order hijacking w celu załadowania złośliwej biblioteki. W momencie wywołania przez program ofiary, w tym przypadku usługę o nazwie “PrintNotify”.

 “Podobnie jak STASHLOG, PRIVATELOG zaczyna od wyliczenia plików *.BLF w katalogu profilu domyślnego użytkownika i wykorzystuje plik .BLF z najstarszym znacznikiem czasu daty utworzenia” – zauważają badacze, zanim użyje go do odszyfrowania i zapisania payloadu drugiego stopnia. 

Mandiant zaleca, aby organizacje stosowały reguły YARA do skanowania sieci wewnętrznych w poszukiwaniu oznak złośliwego oprogramowania. Oraz na zwracanie uwagi na potencjalne wskaźniki włamania (Indicators of Compromise – IoC) w zdarzeniach typu “process”, “imageload” lub “filewrite” związanych z logami systemu wykrywania i reagowania na punkty końcowe (EDR). 

Źródło: https://thehackernews.com/2021/09/this-new-malware-family-using-clfs-log.html
Oceń blog:
Czas czytania: 4 min
Data: 06.09.2021

Terminarz

prev

next

Lista najbliższych webinariów

24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
20.10.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Polskie szpitale vs ransomware - co się stało w marcu 2026? Zabezpieczenia Sieci

Polskie szpitale vs ransomware - co się stało w marcu 2026?

Czytaj więcej
Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Czytaj więcej
Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome Microsoft

Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome

Czytaj więcej
Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Czytaj więcej
Czym jest Ransomeware as a Service?

Czym jest Ransomeware as a Service?

Czytaj więcej