日誌清除器、時間戳修改器或曾幫助黑客隱秘竊走上tb級資料。
安全公司damballa研究員威利斯·麥克唐納和羅西福·卡魯尼稱,用磁碟擦除惡意軟體劫掠了索尼影業的黑客很可能利用最近才發現的反取證工具潛伏了很久。
兩位研究員是在研究惡意軟體destover的最新版本時發現這些最新黑客**的。destover就是去年11月將索尼影業計算機工作站上的資料清洗一空的惡意軟體。
美國譴責北朝鮮發動了那次網路攻擊,當然,北朝鮮立即予以了否認。
而現在,麥克唐納和卡魯尼稱,可能包含了索尼事件黑客在內的destover攻擊者使用工具改變檔案時間戳並清除日誌。
「destover木馬就像雨刮器,能將被感染系統上的檔案刪除,讓系統百無一用。這種方式是出於意識形態或思想政治原因,不是為了獲取經濟利益。」兩位研究員說。
「資料洩露發生的數週乃至數月內,事情就已經被揭露得差不多了,只除了一件事:攻擊者是如何能夠在網路中潛伏如此之久,乃至能將自身擴散開來並滲漏出tb級的敏感資訊的?」
他們所用的工具有兩款。其一是一款時間戳修改器,名為setmft,能夠篡改檔案時間戳。除非調查人員將檔案與日誌和日期進行比對,否則根本發現不了異常。這款工具通常結合重新命名手法共同使用,可以將新引入的檔案混進一堆其他檔案之中,令人難以察覺。
另一款名為afset,能夠基於時間和id清除windows日誌,修改可執行檔案的建立時間和校驗值。這款工具對攻擊者很有價值,可以使攻擊者在公司網路中橫向移動時擦除他們的蹤跡。
對系統進行徹底的取證分析可能會發現afset和消失的日誌活動的存在,但有極大的可能性一開始發現不了並隨時間延伸造成高風險的感染。公司企業在他們的網路裡檢測出入侵者可能會很困難,尤其是攻擊者使用的是從授權使用者那裡偷來的合法登入憑證的時候。一旦進入網路,利用這些工具還能進一步使異常活動的檢測變得更加困難。
兩位研究員寫道,只有一款反病毒產品將兩種工具都檢測出來了。也就是說,這兩種工具的新版本很有可能不會被檢測到,至少一開始不會。
「這些工具的能力,一旦結合能讓攻擊者獲得網路憑證的其他工具一起使用,將會使攻擊者在很長一段時間內在公司網路裡潛行無阻。」
索尼影業遭遇tb級敏感資料被洩露之後直接陷入封鎖狀態。
索尼發布兩款4K HDR電視新品 突破音畫黑科技
x8500g x8588g系列電視整體造型簡潔 清爽,將整體造型化繁為簡。採用嶄新的線纜管理方案可以巧妙地將以往複雜的線纜隱藏於底座之中,保障空間的整潔性,將機身正面讓位於畫面本身,無論是桌面擺放還是壁掛都能夠營造出更加沉浸的觀影體驗。x8500g與x8588g均搭載了4k hdr影象處理晶元x1,...
兩款WEB測試的輔助工具
1.browsershots browsershots能給出你的 在不同瀏覽器下顯示效果的截圖,包括firfox和ie,safari,konqueror等,但是結果要在1 3小時後才能出來。2.internet supervision url check internet supervision u...
好貨推薦!兩款免費的 Linux 桌面錄製工具
screenrecorder 使用 screenrecorder 能夠輕鬆錄製桌面動作,它擁有直觀的使用者介面以及多樣的編碼方式,如 mp4 ogg matroska或 webm格式。screenrecorder 遵從 gpl 協議發行,執行在 linux 上。配置完畢後,單擊 開始錄製 按鈕或者使...