日志清除器、時間戳修改器或曾幫助黑客隱秘竊走上TB級數(shù)據(jù)。

安全公司Damballa研究員威利斯·麥克唐納和羅西福·卡魯尼稱，用磁盤擦除惡意軟件劫掠了索尼影業(yè)的黑客很可能利用最近才發(fā)現(xiàn)的反取證工具潛伏了很久。

[[157170]]

兩位研究員是在研究惡意軟件Destover的最新版本時發(fā)現(xiàn)這些最新黑客武器的。Destover就是去年11月將索尼影業(yè)計算機(jī)工作站上的數(shù)據(jù)清洗一空的惡意軟件。

美國譴責(zé)北朝鮮發(fā)動了那次網(wǎng)絡(luò)攻擊，當(dāng)然，北朝鮮立即予以了否認(rèn)。

而現(xiàn)在，麥克唐納和卡魯尼稱，可能包含了索尼事件黑客在內(nèi)的Destover攻擊者使用工具改變文件時間戳并清除日志。

“Destover木馬就像雨刮器，能將被感染系統(tǒng)上的文件刪除，讓系統(tǒng)百無一用。這種方式是出于意識形態(tài)或思想政治原因，不是為了獲取經(jīng)濟(jì)利益。”兩位研究員說。

“數(shù)據(jù)泄露發(fā)生的數(shù)周乃至數(shù)月內(nèi)，事情就已經(jīng)被揭露得差不多了，只除了一件事：攻擊者是如何能夠在網(wǎng)絡(luò)中潛伏如此之久，乃至能將自身擴(kuò)散開來并滲漏出TB級的敏感信息的?”

他們所用的工具有兩款。其一是一款時間戳修改器，名為setMFT，能夠篡改文件時間戳。除非調(diào)查人員將文件與日志和日期進(jìn)行比對，否則根本發(fā)現(xiàn)不了異常。這款工具通常結(jié)合重命名手法共同使用，可以將新引入的文件混進(jìn)一堆其他文件之中，令人難以察覺。

另一款名為afset，能夠基于時間和ID清除Windows日志，修改可執(zhí)行文件的創(chuàng)建時間和校驗值。這款工具對攻擊者很有價值，可以使攻擊者在公司網(wǎng)絡(luò)中橫向移動時擦除他們的蹤跡。

對系統(tǒng)進(jìn)行徹底的取證分析可能會發(fā)現(xiàn)afset和消失的日志活動的存在，但有極大的可能性一開始發(fā)現(xiàn)不了并隨時間延伸造成高風(fēng)險的感染。公司企業(yè)在他們的網(wǎng)絡(luò)里檢測出入侵者可能會很困難，尤其是攻擊者使用的是從授權(quán)用戶那里偷來的合法登錄憑證的時候。一旦進(jìn)入網(wǎng)絡(luò)，利用這些工具還能進(jìn)一步使異常活動的檢測變得更加困難。

兩位研究員寫道，只有一款反病毒產(chǎn)品將兩種工具都檢測出來了。也就是說，這兩種工具的新版本很有可能不會被檢測到，至少一開始不會。

“這些工具的能力，一旦結(jié)合能讓攻擊者獲得網(wǎng)絡(luò)憑證的其他工具一起使用，將會使攻擊者在很長一段時間內(nèi)在公司網(wǎng)絡(luò)里潛行無阻。”

索尼影業(yè)遭遇TB級敏感數(shù)據(jù)被泄露之后直接陷入封鎖狀態(tài)。

原文地址：http://www.aqniu.com/tools/11998.html