企業威脅防護專家Damballa發現攻擊索尼的惡意工具

近日，企業威脅防護專家Damaballa發現了兩個程序，這兩個程序與去年攻擊索尼影視娛樂公司的惡意軟件密切相關。
 

這是該公司在調查Destover惡意軟件新版本的過程中發現的，這個惡意軟件使得超過千兆字節索尼公司敏感信息被竊取，并且公司成千上萬的電腦無法正常運行。
 

索尼公司信息泄漏事件的一個關鍵問題就是攻擊者是怎樣避開安全系統的。Damaballa 發現的這兩個程序能夠使得系統識別不出新文件。
 

“這兩個程序被用于在攻擊過程中逃避檢測，同時可以通過網絡擴大攻擊面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三發布的博客上寫道。
 

其中一個叫做setMFT的工具運用的技術被稱之為時間暫留(timestopping)，這種技術可以使得文件呈現出不同的時間戳。該技術通常被用于將重命名的新文件融入其他文件組之中。
 

“這種手段可以使得文件躲過安全部門對于惡意文件的檢索，在一段時間后再重新創建。”他們寫道，“時間暫留技術可以逃過粗略的檢查。”
 

另一個工具叫做afset，它用于時間暫留技術，以及清除存儲在微軟系統中的登陸記錄。該工具也可以更改生成時間和可執行文件的校驗和。
 

“afset讓攻擊者處于隱身狀態，在他們肆意網絡的時候清除蹤跡，”他們寫道，“對于系統的全方面分析才可以揭示afset的存在和被清除的登錄記錄，但是很有可能在最初創建惡意文件的高危感染時間里，這種攻擊行為是不會被檢測出來的。”
 

對于公司來說，檢測出網絡中的入侵者是很困難的一件事，特別是攻擊者使用的是從授權用戶那里竊取的有效登陸憑據。這兩種程序使得檢測到非正常活動的可能性越來越小了。
 

研究人員說，只有一種防病毒產品可以檢測出這兩種工具。這足以說明這個惡意軟件的新版本至少在最初階段不會被發現。這些工具使得攻擊者可以竊取網絡憑據并且躲開防御，這種功能讓攻擊者們可以在很長一段時間里在整個網絡里暢通無阻。