企业威胁防护专家Damballa发现攻击索尼的恶意工具

近日,企业威胁防护专家Damaballa发现了两个程序,这两个程序与去年攻击索尼影视娱乐公司的恶意软件密切相关。
 

企业威胁防护专家Damballa发现攻击索尼的恶意工具
 

这是该公司在调查Destover恶意软件新版本的过程中发现的,这个恶意软件使得超过千兆字节索尼公司敏感信息被窃取,并且公司成千上万的电脑无法正常运行。
 

索尼公司信息泄漏事件的一个关键问题就是攻击者是怎样避开安全系统的。Damaballa 发现的这两个程序能够使得系统识别不出新文件。
 

“这两个程序被用于在攻击过程中逃避检测,同时可以通过网络扩大攻击面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三发布的博客上写道。
 

其中一个叫做setMFT的工具运用的技术被称之为时间暂留(timestopping),这种技术可以使得文件呈现出不同的时间戳。该技术通常被用于将重命名的新文件融入其他文件组之中。
 

“这种手段可以使得文件躲过安全部门对于恶意文件的检索,在一段时间后再重新创建。”他们写道,“时间暂留技术可以逃过粗略的检查。”
 

另一个工具叫做afset,它用于时间暂留技术,以及清除存储在微软系统中的登陆记录。该工具也可以更改生成时间和可执行文件的校验和。
 

“afset让攻击者处于隐身状态,在他们肆意网络的时候清除踪迹,”他们写道,“对于系统的全方面分析才可以揭示afset的存在和被清除的登录记录,但是很有可能在最初创建恶意文件的高危感染时间里,这种攻击行为是不会被检测出来的。”
 

对于公司来说,检测出网络中的入侵者是很困难的一件事,特别是攻击者使用的是从授权用户那里窃取的有效登陆凭据。这两种程序使得检测到非正常活动的可能性越来越小了。
 

研究人员说,只有一种防病毒产品可以检测出这两种工具。这足以说明这个恶意软件的新版本至少在最初阶段不会被发现。这些工具使得攻击者可以窃取网络凭据并且躲开防御,这种功能让攻击者们可以在很长一段时间里在整个网络里畅通无阻。
 

网友评论
图文推荐
  • 百度杀毒怎么样 百度杀毒软件好吗

    百度杀毒软件好吗?这是很多用户在使用百度杀毒这款软件之前的疑问,因为杀毒软件实在太多,用户有这样的疑问也无可厚非,今天,小编就带大家看看百度杀毒的一些特色吧,或许能够解答用户的疑问了!

  • 勒索病毒怎么清除 勒索病毒彻底清除方法

    很多用户的电脑遭受了勒索病毒的侵入,那么要如何清除勒索病毒呢?接下来,小编就为大家带来勒索病毒清除方法以及勒索病毒清除工具,感兴趣的朋友可以来了解下。

  • 比特币病毒怎么解决 比特币病毒解决方法

    最近,很多朋友都被比特币勒索病毒给刷屏了,黑客通过索要破解费用来获取利益,那么,比特币病毒怎么破解呢?接下来,小编就为大家带来比特币病毒解决方法。