Damballa的研究员Willis McDonald和Loucif Kharouni说, 使用disk-cleansing恶意软件攻击索尼影业的黑客可能一直在秘密使用新发现的反取证工具。

两人在Destover恶意软件的最新版本中发现了更新的工具,这款恶意软件曾因在去年11月跨越索尼影业的工作站擦除数据而知名。

朝鲜曾因这次攻击被美国指责,而平壤表示否认。

现在McDonald和Kharouni说,在Destover攻击者中很可能就包括那些索尼黑客,他们会使用工具来删除日志、更改文件时间戳。

两位研究人员说：“Destover木马会删除受感染的系统内的文件,使其无法使用…这种攻击的目的不是经济利益，而是意识形态分歧和某些政治原因。“

 “在受攻击后的几周内，很多消息都相继透露出来,除了攻击者是如何在保持不被发现的情况下，在网络中拥有充足的时间来进行扩张，并放出诸多的敏感信息。”

这些工具包括timestamp-stomping setMFT,它能在避开调查员的情况下操纵时间戳,除非文件是对日志和日期进行检查的。

afset工具可以擦除基于时间和身份的窗户日志，改变一个可执行文件的构建时间和校验和。这种工具对于攻击者来说是很有价值的,因为它允许攻击者在通过公司网络进行横向移动时删除足迹。

他们说：“系统的一次完整的取证分析将揭示afset的存在和失踪的日志活动。但这个活动很可能会在不被发现的情况下创建高危险性的感染。”

索尼影业在大量敏感数据被盗后进入了警戒状态。

文章原文链接:https://www.anquanke.com/post/id/82986