企業(yè)威脅防護專家Damballa發(fā)現(xiàn)攻擊索尼的惡意工具

近日，企業(yè)威脅防護專家Damaballa發(fā)現(xiàn)了兩個程序，這兩個程序與去年攻擊索尼影視娛樂公司的惡意軟件密切相關(guān)。
 

這是該公司在調(diào)查Destover惡意軟件新版本的過程中發(fā)現(xiàn)的，這個惡意軟件使得超過千兆字節(jié)索尼公司敏感信息被竊取，并且公司成千上萬的電腦無法正常運行。
 

索尼公司信息泄漏事件的一個關(guān)鍵問題就是攻擊者是怎樣避開安全系統(tǒng)的。Damaballa 發(fā)現(xiàn)的這兩個程序能夠使得系統(tǒng)識別不出新文件。
 

“這兩個程序被用于在攻擊過程中逃避檢測，同時可以通過網(wǎng)絡(luò)擴大攻擊面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三發(fā)布的博客上寫道。
 

其中一個叫做setMFT的工具運用的技術(shù)被稱之為時間暫留(timestopping)，這種技術(shù)可以使得文件呈現(xiàn)出不同的時間戳。該技術(shù)通常被用于將重命名的新文件融入其他文件組之中。
 

“這種手段可以使得文件躲過安全部門對于惡意文件的檢索，在一段時間后再重新創(chuàng)建。”他們寫道，“時間暫留技術(shù)可以逃過粗略的檢查。”
 

另一個工具叫做afset，它用于時間暫留技術(shù)，以及清除存儲在微軟系統(tǒng)中的登陸記錄。該工具也可以更改生成時間和可執(zhí)行文件的校驗和。
 

“afset讓攻擊者處于隱身狀態(tài)，在他們肆意網(wǎng)絡(luò)的時候清除蹤跡，”他們寫道，“對于系統(tǒng)的全方面分析才可以揭示afset的存在和被清除的登錄記錄，但是很有可能在最初創(chuàng)建惡意文件的高危感染時間里，這種攻擊行為是不會被檢測出來的。”
 

對于公司來說，檢測出網(wǎng)絡(luò)中的入侵者是很困難的一件事，特別是攻擊者使用的是從授權(quán)用戶那里竊取的有效登陸憑據(jù)。這兩種程序使得檢測到非正?；顒拥目赡苄栽絹碓叫×恕?br />  

研究人員說，只有一種防病毒產(chǎn)品可以檢測出這兩種工具。這足以說明這個惡意軟件的新版本至少在最初階段不會被發(fā)現(xiàn)。這些工具使得攻擊者可以竊取網(wǎng)絡(luò)憑據(jù)并且躲開防御，這種功能讓攻擊者們可以在很長一段時間里在整個網(wǎng)絡(luò)里暢通無阻。