企业威胁防护专家Damballa 发现用于攻击索尼的恶意工具

最近，企业威胁防护专家Dabara 发现了两个与去年攻击索尼影视娱乐公司的恶意软件密切相关的程序。

该公司在调查Destover 恶意软件的新版本时发现了这一点，该恶意软件可能窃取了超过1 GB 的索尼敏感信息，并导致数千台公司计算机瘫痪。

索尼泄露事件的一个关键问题是攻击者如何规避安全系统。 Damaballa 发现的两个程序可以使系统无法识别新文件。

高端入侵研究人员Willis McDonald 和Loucif Kharouni 在周三发表的一份声明中写道：“这两个程序用于在攻击期间逃避检测，同时还通过网络扩大攻击面。”我在博客中提到了这一点。

一个名为setMFT 的工具使用一种名为timestops 的技术，允许您查看具有不同时间戳的文件。此技术通常用于将新的重命名文件合并到其他文件组中。

研究人员写道：“通过这种技术，文件可以逃脱安全机构的恶意搜索，并在一段时间后重新创建。临时持久性技术使它们能够逃避粗略的检查。”

另一个工具称为afset，用于时间持久技术和清除存储在Microsoft系统中的登录记录。该工具还可以更改可执行文件的构建时间和校验和。

“Afsets 允许攻击者在网络上造成严重破坏时保持隐形并删除他们的痕迹。“这些登录记录很可能已经被创建了，”他们写道。首先，当恶意文件感染的风险很高时，这种类型的攻击就不会被发现。 ”

企业可能很难检测到网络上的入侵者，特别是当攻击者使用从授权用户窃取的有效登录凭据时。这两种程序检测到异常活动的可能性越来越小。

研究人员表示，只有一种防病毒产品可以检测到这两种工具。这足以表明该恶意软件的新版本将不会被发现，至少在最初是这样。这些工具允许攻击者窃取网络凭据并绕过防御。这使得攻击者可以在整个网络中长时间不受阻碍地进行操作。