Создан скрипт для восстановления удаленных хакерским инструментом АНБ логов

Эксперты компании Fox-IT представили написанный на Python скрипт, позволяющий восстановить записи в журнале событий, удаленные утилитой eventlogedit на скомпрометированных компьютерах. Eventlogedit является частью предполагаемого хакерского инструмента Агентства национальной безопасности (АНБ) США под названием DanderSpritz, который в числе других программ был выложен в открытый доступ кибергруппировкой The Shadow Brockers в минувшем году. Скрипт под названием danderspritz-evtx опубликован на портале GitHub.

На самом деле утилита не удаляет или изменяет записи в журнале, а только совмещает их, делая «удаленную» запись частью предыдущей. По умолчанию, DanderSpritz совмещает одну или две «компрометирующие» записи с «чистым» логом. Таким образом при чтении подделанного файла Журнал событий прочитает чистую запись, увидит конечный тег и проигнорирует весь «плохой» контент, пояснили исследователи. Этот ловкий трюк позволяет злоумышленникам скрыть свои действия на скомпрометированных устройствах.

По словам специалистов, разработанный ими скрипт позволит другим исследователям восстановить оригинальные записи и отследить «отпечатки» злоумышленников.

DanderSpritz представляет собой фреймворк, включающий ряд других утилит помимо возможности очистки журналов. Как правило, АНБ использует его совместно с другим фреймворком – FuzzBunch, предназначенным для загрузки и исполнения эксплоитов на целевых компьютерах.

«Представьте, что это государственная версия Metasploit Meterpreter, но с функцией автоматического обнаружения антивирусов и массой (ранее) не обнаруживаемых инструментов для извлечения паролей, сбора информации и продвижения по системе», - рассказал эксперт Kudelski Security Франсиско Донозо (Francisco Donoso).

Источник