索尼影業(yè)就是被這兩款工具黑的

2015-11-25 10:32:39 安全牛　點(diǎn)擊量：評(píng)論 (0)

日志清除器、時(shí)間戳修改器或曾幫助黑客隱秘竊走上TB級(jí)數(shù)據(jù)。安全公司Damballa研究員威利斯·麥克唐納和羅西福·卡魯尼稱，用磁盤擦除惡意軟件劫掠了索尼影業(yè)的黑客很可能利用最近才發(fā)現(xiàn)的反取證工具潛伏了很久。

日志清除器、時(shí)間戳修改器或曾幫助黑客隱秘竊走上TB級(jí)數(shù)據(jù)。

安全公司Damballa研究員威利斯·麥克唐納和羅西福·卡魯尼稱，用磁盤擦除惡意軟件劫掠了索尼影業(yè)的黑客很可能利用最近才發(fā)現(xiàn)的反取證工具潛伏了很久。

兩位研究員是在研究惡意軟件Destover的最新版本時(shí)發(fā)現(xiàn)這些最新黑客武器的。Destover就是去年11月將索尼影業(yè)計(jì)算機(jī)工作站上的數(shù)據(jù)清洗一空的惡意軟件。

美國(guó)譴責(zé)北朝鮮發(fā)動(dòng)了那次網(wǎng)絡(luò)攻擊，當(dāng)然，北朝鮮立即予以了否認(rèn)。

而現(xiàn)在，麥克唐納和卡魯尼稱，可能包含了索尼事件黑客在內(nèi)的Destover攻擊者使用工具改變文件時(shí)間戳并清除日志。

“Destover木馬就像雨刮器，能將被感染系統(tǒng)上的文件刪除，讓系統(tǒng)百無(wú)一用。這種方式是出于意識(shí)形態(tài)或思想政治原因，不是為了獲取經(jīng)濟(jì)利益。”兩位研究員說(shuō)。

“數(shù)據(jù)泄露發(fā)生的數(shù)周乃至數(shù)月內(nèi)，事情就已經(jīng)被揭露得差不多了，只除了一件事：攻擊者是如何能夠在網(wǎng)絡(luò)中潛伏如此之久，乃至能將自身擴(kuò)散開(kāi)來(lái)并滲漏出TB級(jí)的敏感信息的？”

他們所用的工具有兩款。其一是一款時(shí)間戳修改器，名為setMFT，能夠篡改文件時(shí)間戳。除非調(diào)查人員將文件與日志和日期進(jìn)行比對(duì)，否則根本發(fā)現(xiàn)不了異常。這款工具通常結(jié)合重命名手法共同使用，可以將新引入的文件混進(jìn)一堆其他文件之中，令人難以察覺(jué)。

另一款名為afset，能夠基于時(shí)間和ID清除Windows日志，修改可執(zhí)行文件的創(chuàng)建時(shí)間和校驗(yàn)值。這款工具對(duì)攻擊者很有價(jià)值，可以使攻擊者在公司網(wǎng)絡(luò)中橫向移動(dòng)時(shí)擦除他們的蹤跡。

對(duì)系統(tǒng)進(jìn)行徹底的取證分析可能會(huì)發(fā)現(xiàn)afset和消失的日志活動(dòng)的存在，但有極大的可能性一開(kāi)始發(fā)現(xiàn)不了并隨時(shí)間延伸造成高風(fēng)險(xiǎn)的感染。

公司企業(yè)在他們的網(wǎng)絡(luò)里檢測(cè)出入侵者可能會(huì)很困難，尤其是攻擊者使用的是從授權(quán)用戶那里偷來(lái)的合法登錄憑證的時(shí)候。一旦進(jìn)入網(wǎng)絡(luò)，利用這些工具還能進(jìn)一步使異常活動(dòng)的檢測(cè)變得更加困難。

兩位研究員寫道，只有一款反病毒產(chǎn)品將兩種工具都檢測(cè)出來(lái)了。也就是說(shuō)，這兩種工具的新版本很有可能不會(huì)被檢測(cè)到，至少一開(kāi)始不會(huì)。

“這些工具的能力，一旦結(jié)合能讓攻擊者獲得網(wǎng)絡(luò)憑證的其他工具一起使用，將會(huì)使攻擊者在很長(zhǎng)一段時(shí)間內(nèi)在公司網(wǎng)絡(luò)里潛行無(wú)阻。”

索尼影業(yè)遭遇TB級(jí)敏感數(shù)據(jù)被泄露之后直接陷入封鎖狀態(tài)。

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊