近日,企业威胁防护专家Damaballa发现了两个程序,这两个程序与去年攻击索尼影视娱乐公司的恶意软件密切相关。
这是该公司在调查Destover恶意软件新版本的过程中发现的,这个恶意软件使得超过千兆字节索尼公司敏感信息被窃取,并且公司成千上万的电脑无法正常运行。
索尼公司信息泄漏事件的一个关键问题就是攻击者是怎样避开安全系统的。Damaballa 发现的这两个程序能够使得系统识别不出新文件。
“这两个程序被用于在攻击过程中逃避检测,同时可以通过网络扩大攻击面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三发布的博客上写道。
其中一个叫做setMFT的工具运用的技术被称之为时间暂留(timestopping),这种技术可以使得文件呈现出不同的时间戳。该技术通常被用于将重命名的新文件融入其他文件组之中。
“这种手段可以使得文件躲过安全部门对于恶意文件的检索,在一段时间后再重新创建。”他们写道,“时间暂留技术可以逃过粗略的检查。”
另一个工具叫做afset,它用于时间暂留技术,以及清除存储在微软系统中的登陆记录。该工具也可以更改生成时间和可执行文件的校验和。
“afset让攻击者处于隐身状态,在他们肆意网络的时候清除踪迹,”他们写道,“对于系统的全方面分析才可以揭示afset的存在和被清除的登录记录,但是很有可能在最初创建恶意文件的高危感染时间里,这种攻击行为是不会被检测出来的。”
对于公司来说,检测出网络中的入侵者是很困难的一件事,特别是攻击者使用的是从授权用户那里窃取的有效登陆凭据。这两种程序使得检测到非正常活动的可能性越来越小了。
研究人员说,只有一种防病毒产品可以检测出这两种工具。这足以说明这个恶意软件的新版本至少在最初阶段不会被发现。这些工具使得攻击者可以窃取网络凭据并且躲开防御,这种功能让攻击者们可以在很长一段时间里在整个网络里畅通无阻。
……