您当前位置:首页 > 资讯中心 > 信息安全

索尼影业就是被这两款工具黑的

日志清除器、时间戳修改器或曾帮助黑客隐秘窃走上TB级数据。

安全公司Damballa研究员威利斯·麦克唐纳和罗西福·卡鲁尼称,用磁盘擦除恶意软件劫掠了索尼影业的黑客很可能利用较近才发现的反取证工具潜伏了很久。

索尼影业就是被这两款工具黑的

两位研究员是在研究恶意软件Destover的较新版本时发现这些较新黑客武器的。Destover就是去年11月将索尼影业计算机工作站上的数据清洗一空的恶意软件。

美国谴责北朝鲜发动了那次网络攻击,当然,北朝鲜立即予以了否认。

而现在,麦克唐纳和卡鲁尼称,可能包含了索尼事件黑客在内的Destover攻击者使用工具改变文件时间戳并清除日志。

“Destover木马就像雨刮器,能将被感染系统上的文件删除,让系统百无一用。这种方式是出于意识形态或思想政治原因,不是为了获取经济利益。”两位研究员说。

“数据泄露发生的数周乃至数月内,事情就已经被揭露得差不多了,只除了一件事:攻击者是如何能够在网络中潜伏如此之久,乃至能将自身扩散开来并渗漏出TB级的敏感信息的?”

他们所用的工具有两款。其一是一款时间戳修改器,名为setMFT,能够篡改文件时间戳。除非调查人员将文件与日志和日期进行比对,否则根本发现不了异常。这款工具通常结合重命名手法共同使用,可以将新引入的文件混进一堆其他文件之中,令人难以察觉。

另一款名为afset,能够基于时间和ID清除Windows日志,修改可执行文件的创建时间和校验值。这款工具对攻击者很有价值,可以使攻击者在公司网络中横向移动时擦除他们的踪迹。

对系统进行彻底的取证分析可能会发现afset和消失的日志活动的存在,但有极大的可能性一开始发现不了并随时间延伸造成高风险的感染。公司企业在他们的网络里检测出入侵者可能会很困难,尤其是攻击者使用的是从授权用户那里偷来的合法登录凭证的时候。一旦进入网络,利用这些工具还能进一步使异常活动的检测变得更加困难。

两位研究员写道,只有一款反病毒产品将两种工具都检测出来了。也就是说,这两种工具的新版本很有可能不会被检测到,至少一开始不会。

“这些工具的能力,一旦结合能让攻击者获得网络凭证的其他工具一起使用,将会使攻击者在很长一段时间内在公司网络里潜行无阻。”

索尼影业遭遇TB级敏感数据被泄露之后直接陷入封锁状态。

作者:Grabsun - 发布时间:2015-11-26 - 点击量:3941
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们