Создан скрипт для восстановления удаленных хакерским инструментом АНБ логов
Эксперты компании Fox-IT представили написанный на Python скрипт, позволяющий восстановить записи в журнале событий, удаленные утилитой eventlogedit на скомпрометированных компьютерах. Eventlogedit является частью предполагаемого хакерского инструмента Агентства национальной безопасности (АНБ) США под названием DanderSpritz, который в числе других программ был выложен в открытый доступ кибергруппировкой The Shadow Brockers в минувшем году. Скрипт под названием danderspritz-evtx опубликован на портале GitHub.
На самом деле утилита не удаляет или изменяет записи в журнале, а только совмещает их, делая «удаленную» запись частью предыдущей. По умолчанию, DanderSpritz совмещает одну или две «компрометирующие» записи с «чистым» логом. Таким образом при чтении подделанного файла Журнал событий прочитает чистую запись, увидит конечный тег и проигнорирует весь «плохой» контент, пояснили исследователи. Этот ловкий трюк позволяет злоумышленникам скрыть свои действия на скомпрометированных устройствах.
По словам специалистов, разработанный ими скрипт позволит другим исследователям восстановить оригинальные записи и отследить «отпечатки» злоумышленников.
DanderSpritz представляет собой фреймворк, включающий ряд других утилит помимо возможности очистки журналов. Как правило, АНБ использует его совместно с другим фреймворком – FuzzBunch, предназначенным для загрузки и исполнения эксплоитов на целевых компьютерах.
«Представьте, что это государственная версия Metasploit Meterpreter, но с функцией автоматического обнаружения антивирусов и массой (ранее) не обнаруживаемых инструментов для извлечения паролей, сбора информации и продвижения по системе», - рассказал эксперт Kudelski Security Франсиско Донозо (Francisco Donoso).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш