日志清除器、时间戳修改器或曾帮助黑客隐秘窃走上TB级数据。
安全公司Damballa研究员威利斯·麦克唐纳和罗西福·卡鲁尼称,用磁盘擦除恶意软件劫掠了索尼影业的黑客很可能利用较近才发现的反取证工具潜伏了很久。
两位研究员是在研究恶意软件Destover的较新版本时发现这些较新黑客武器的。Destover就是去年11月将索尼影业计算机工作站上的数据清洗一空的恶意软件。
美国谴责北朝鲜发动了那次网络攻击,当然,北朝鲜立即予以了否认。
而现在,麦克唐纳和卡鲁尼称,可能包含了索尼事件黑客在内的Destover攻击者使用工具改变文件时间戳并清除日志。
“Destover木马就像雨刮器,能将被感染系统上的文件删除,让系统百无一用。这种方式是出于意识形态或思想政治原因,不是为了获取经济利益。”两位研究员说。
“数据泄露发生的数周乃至数月内,事情就已经被揭露得差不多了,只除了一件事:攻击者是如何能够在网络中潜伏如此之久,乃至能将自身扩散开来并渗漏出TB级的敏感信息的?”
他们所用的工具有两款。其一是一款时间戳修改器,名为setMFT,能够篡改文件时间戳。除非调查人员将文件与日志和日期进行比对,否则根本发现不了异常。这款工具通常结合重命名手法共同使用,可以将新引入的文件混进一堆其他文件之中,令人难以察觉。
另一款名为afset,能够基于时间和ID清除Windows日志,修改可执行文件的创建时间和校验值。这款工具对攻击者很有价值,可以使攻击者在公司网络中横向移动时擦除他们的踪迹。
对系统进行彻底的取证分析可能会发现afset和消失的日志活动的存在,但有极大的可能性一开始发现不了并随时间延伸造成高风险的感染。公司企业在他们的网络里检测出入侵者可能会很困难,尤其是攻击者使用的是从授权用户那里偷来的合法登录凭证的时候。一旦进入网络,利用这些工具还能进一步使异常活动的检测变得更加困难。
两位研究员写道,只有一款反病毒产品将两种工具都检测出来了。也就是说,这两种工具的新版本很有可能不会被检测到,至少一开始不会。
“这些工具的能力,一旦结合能让攻击者获得网络凭证的其他工具一起使用,将会使攻击者在很长一段时间内在公司网络里潜行无阻。”
索尼影业遭遇TB级敏感数据被泄露之后直接陷入封锁状态。
