腳本工具danderspritz-evtx:可恢復(fù)NSA黑客工具清除的事件日志

責(zé)任編輯:editor005

2017-12-14 14:30:55

摘自:E安全

網(wǎng)絡(luò)安全公司Fox-IT上周發(fā)布了一個(gè)Python腳本“danderspritz-evtx”,可恢復(fù)被NSA黑客工具DanderSpritz刪除的事件日志條目。黑客工具 DanderSpritz工作原理 

網(wǎng)絡(luò)安全公司Fox-IT上周發(fā)布了一個(gè)Python腳本“danderspritz-evtx”,可恢復(fù)被NSA黑客工具DanderSpritz刪除的事件日志條目。

黑客工具 DanderSpritz工作原理

DanderSpritz 是“影子經(jīng)紀(jì)人”(Shadow Brokers)公開的NSA遠(yuǎn)控工具,該工具基于FuzzBunch框架設(shè)計(jì),可以清除事件日志。

1513087588309001882.jpg

NSA通常將DanderSpritz與FuzzBunch一起使用。NSA黑客使用FuzzBunch在目標(biāo)電腦上加載并運(yùn)行漏洞利用,之后部署DanderSpritz查找并提取敏感數(shù)據(jù),向附近的電腦傳播,并清除攻擊痕跡。

Kudelski Security今年5月曾寫道, 可以將DanderSpritz想象成國家版的Metasploit Meterpreter,但前者還帶有自動(dòng)化反病毒檢測和規(guī)避功能,以及大量先前無法檢測到的工具,可用于轉(zhuǎn)儲(chǔ)密碼、收集信息、保持持久性并橫向移動(dòng)。

為什么數(shù)據(jù)并未被刪除?

DanderSpritz包含Eventlogedit插件,能操縱Windows的事件日志文件幫助攻擊者隱藏行蹤。

Eventlogedit插件存在漏洞

Fox-IT表示,研究人員在Eventlogedit插件中發(fā)現(xiàn)一個(gè)漏洞,即Eventlogedit實(shí)際上并未刪除事件日志條目,而只是未加以引用,將其合并。按照研究人員的解釋,使用Eventlogedit時(shí),將被刪除的日志記錄本身未被編輯或刪除,只不過未被引用。它通過操縱之前記錄的記錄頭來實(shí)現(xiàn)。

Eventlogedit將欲被刪除記錄的大小加入之前記錄的大小中,從而合并這兩條記錄。包括記錄頭在內(nèi)的被刪記錄目前僅被認(rèn)為是此前記錄的多余數(shù)據(jù)。日志查看器不會(huì)顯示這種多余數(shù)據(jù)或垃圾數(shù)據(jù)。

1513087134548094336.jpg

DanderSpritz會(huì)默認(rèn)將一個(gè)或多個(gè)“篡改”日志條目與之前的清潔日志條目合并。當(dāng)Windows事件日志應(yīng)用程序讀取經(jīng)過篡改過的日志文件時(shí),它會(huì)讀取清潔版本,查看結(jié)束標(biāo)簽,并忽略未引用“不良”事件的所有內(nèi)容。

這種技倆允許攻擊者隱藏惡意行蹤。借助Fox-IT開發(fā)的danderspritz-evtx腳本,調(diào)查人員可以重建原始日志文件,追蹤攻擊者的活動(dòng)。

1513087218118002308.jpg

由于DanderSpritz已被泄露超過半年,這就意味著除了NSA黑客,其它網(wǎng)絡(luò)犯罪組織和惡意攻擊者可能已經(jīng)將這種技術(shù)整合在自己的工具之中。

此腳本是調(diào)查被入侵設(shè)備的必需工具,用戶可在GitHub上獲取,地址請戳!
 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)