新闻快讯
< >

脚本工具danderspritz-evtx:可恢复NSA黑客工具清除的事件日志

E安全12月14日讯 网络安全公司Fox-IT上周发布了一个Python脚本“danderspritz-evtx”,可恢复被NSA黑客工具DanderSpritz删除的事件日志条目。

黑客工具 DanderSpritz工作原理

DanderSpritz 是“影子经纪人”(Shadow Brokers)公开的NSA远控工具,该工具基于FuzzBunch框架设计,可以清除事件日志。

1513087588309001882.jpg

NSA通常将DanderSpritz与FuzzBunch一起使用。NSA黑客使用FuzzBunch在目标电脑上加载并运行漏洞利用,之后部署DanderSpritz查找并提取敏感数据,向附近的电脑传播,并清除攻击痕迹。

Kudelski Security今年5月曾写道, 可以将DanderSpritz想象成国家版的Metasploit Meterpreter,但前者还带有自动化反病毒检测和规避功能,以及大量先前无法检测到的工具,可用于转储密码、收集信息、保持持久性并横向移动。

为什么数据并未被删除?

DanderSpritz包含Eventlogedit插件,能操纵Windows的事件日志文件帮助攻击者隐藏行踪。

Eventlogedit插件存在漏洞

Fox-IT表示,研究人员在Eventlogedit插件中发现一个漏洞,即Eventlogedit实际上并未删除事件日志条目,而只是未加以引用,将其合并。按照研究人员的解释,使用Eventlogedit时,将被删除的日志记录本身未被编辑或删除,只不过未被引用。它通过操纵之前记录的记录头来实现。

Eventlogedit将欲被删除记录的大小加入之前记录的大小中,从而合并这两条记录。包括记录头在内的被删记录目前仅被认为是此前记录的多余数据。日志查看器不会显示这种多余数据或垃圾数据。

1513087134548094336.jpg

DanderSpritz会默认将一个或多个“篡改”日志条目与之前的清洁日志条目合并。当Windows事件日志应用程序读取经过篡改过的日志文件时,它会读取清洁版本,查看结束标签,并忽略未引用“不良”事件的所有内容。

这种技俩允许攻击者隐藏恶意行踪。借助Fox-IT开发的danderspritz-evtx脚本,调查人员可以重建原始日志文件,追踪攻击者的活动。

1513087218118002308.jpg

由于DanderSpritz已被泄露超过半年,这就意味着除了NSA黑客,其它网络犯罪组织和恶意攻击者可能已经将这种技术整合在自己的工具之中。

此脚本是调查被入侵设备的必需工具,用户可在GitHub上获取,地址请戳
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。