Mandiant (FireEye kompaniýanyň şahamçasy) bilermenleri zyýanly programma üpjünçiligi ýüze çykardylar, bu programma öz koduny ulgam prosesleriň ýadynda saklamagyň adaty bolmadyk usulyny ulanýar. Zyýanly programma üpjünçiligi PRIVATELOG diýip atlandyrylyp, onuň gurnaýjysy üçin STASHLOG ady berildi. Zyýanly programma üpjünçiligi CLFS (Common Log File System) konteýnerleri ulanýar, bu konteýnerleriň düzümini Windows gurallary bilen seljerip bolmaýar, antiwirus programmalary hem olary seýrek barlagdan geçirýärler.

«CLFS log-faýllar formaty köplenç ulanylmaýanlygy ýa-da tehniki resminamalarda görkezilmeýänligi sebäpli häzirki parser programmalary, ýagny gerekli bolan maglumaty gözläp tapmak üçin niýetlenen programmalary log-faýllaryň üstünde işläp bilmeýärler. Şeýle hem, log-ýazgylary ýaly görünýän zyýanly maglumatlary ulanmaga amatly,» - diýip gözlegçiler Mandiant sahypasynda beýan edýärler.

Täze zyýanly programma üpjünçiliginiň döredijileriň esasy maksady häzirki wagtda gözlegçiler üçin düşnüksiz bolup durýar. Olaryň pikirine görä, zyýanly programma işlenip taýýarlanylýan tapgyrda bolmagy mümkin.

Täzelikde ýüze çykarylan howpdan goranmagyň usullary beýleki zyýanly programma üpjünçiliginden goranmak usullary bilen deňdir, ýagny gurnalan programma üpjünçilige öz wagtynda düzedişleri gurnamak, zyýanly hereketleriň alamatlary ýüze çykarmak üçin ulgamlara gözegçilik etmek, poçta antiwirus programmalary ulanmak, işgärleri okatmak we ş.m. Gözlegçiler STASHLOG we PRIVATELOG bilen zäherlenmegiň alamatlaryny gözlemek üçin Mandiant tarapyndan döredilen YARA düzgünlerini hem ulanmagy, şeýle hem EDR-ulgamlarynyň log-ýazgylaryny IoC alamatlary üçin process, imageload we filewrite hadysalary baradaky ýazgylarda yzygider barlap görmegi maslahat berýärler.

Çeşme: anti-malware.ru