专栏首页FreeBuf安全专家揭秘索尼影业被黑事件攻击原理

安全专家揭秘索尼影业被黑事件攻击原理

2014年年末,索尼影视遭遇史上最大规模的入侵,5部未上映的电影资源泄露,直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻,敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗,随之员工便遭到黑客组织GOP的恐怖威胁。

至于攻击者背后真正的主谋是谁,一时间众说纷纭。美国方面指责是朝鲜黑客所为,因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象;还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁?所为何因?至今不得而知……

事件发生之后,趋势科技的专家发现索尼员工电脑屏幕上那张图片是由强大的恶意程序BKDR_WIPALL生成的。该恶意程序会删除计算机文件,终止微软信息存储服务等。

原来是Destover擦除了系统上的犯罪数据

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件,他们发现了一种非常复杂的磁盘清理代码叫做Destover,它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中,Destover曾被用于擦除系统上的数据,但是安全专家们发现Destover变种功能改变很大。去年12月份的时候,卡巴斯基实验室的安全专家发现了一种Destover恶意程序,其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测,并且很难被取证调查,因为Destover变种有能力改变文件的时间戳并清除日志,所以很难被取证。

攻击者主要使用两个工具来清除日志和时间戳:setMFT用于复制磁盘源文件时间戳到目标文件上,也被称之为timestomping;afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性,包括构建时间和校验和。从这两个工具来看,主谋一定是一个组织结构非常严谨的组织。

在受害者网络内获得立足点是首要任务。历史告诉我们,重大入侵事件登上头条的时候,说明攻击者已经在受害者网络中潜伏数月并且已经获得大量数据。”

不同攻击阶段的任务

下面的表格中详细汇总了不同攻击阶完成的主要任务:

* 参考来源:SA、FreeBuf,小编综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:Cindy

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-11-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 互联网广告精准投放中的个人信息保护问题

    互联网广告投放的精准度,本质是一种匹配度。它不可能实现把广告内容一对一地精确投放给用户个体,而只是尽可能将广告展示给与广告内容匹配度更高的用户群体。广告投放的精...

    FB客服
  • Windows用户自查:微软紧急更新修复Meltdown和Spectre CPU漏洞

    1月3日深夜,微软发布了针对Meltdown和Specter的系统安全更新,而两个安全漏洞影响了几乎所有自1995年以来发布的CPU(不止Intel)。根据微软...

    FB客服
  • 微软修复Bitlocker驱动器加密工具的绕过漏洞

    微软最近修复了Windows Bitlocker驱动器加密中的一个漏洞,这个漏洞可以被用来快速绕过加密功能获取到受害者加密的重要信息。 加密软件中的漏洞 磁盘加...

    FB客服
  • Windows 技术篇-WPS关闭推送广告配置方法

    WPS 的推送广告非常的频繁,而且360软件净化也净化不了。 好的是,WPS 自带的配置工具就可以关闭广告推送,还是比较良心的。

    小蓝枣
  • 洛谷P3366 【模板】最小生成树(Boruvka算法)

    复杂度\(O(n \log n)\),然鹅没有Kruskal跑的快,但是好像在一类生成树问题上很有用

    attack
  • 蓝色光标进军大数据,这个世界怎么了?

    摘要:蓝色光标走大数据和科技路线的核心在于,它不是一家公关公司,而是一家营销传播公司,营销大于传播。 蓝色光标,中国最大的营销传播公司在上周对外发布了大数据战略...

    罗超频道
  • 【一天一大 lee】单词规律 (难度:简单) - Day20201216

    给定一种规律 pattern 和一个字符串 str ,判断 str 是否遵循相同的规律。

    前端小书童
  • 腾讯TMQ在线沙龙回顾|EP(测试分析+分层自动化测试)实践

    答:Hook英文翻译过来就是「钩子」的意思,那我们在什么时候使用这个「钩子」呢?在 Android 操作系统中系统维护着自己的一套事件分发机制。应用程序,包括应...

    腾讯移动品质中心TMQ
  • 天池-OGeek算法挑战赛Baseline(0.7016)

    此baseline是西安电子科技大学小幸运所提供,借此平台能够帮助更多新入手同学。

    Coggle数据科学
  • Windows安装BBSMAX实践

    数据库 :SqlServer 2000 + 更新了Sp4补丁(如何确认更新了Sp4补丁,点击这里)

    无可奉告丶

扫码关注云+社区

领取腾讯云代金券