安全专家揭秘索尼影业被黑事件攻击原理

2014年年末,索尼影视遭遇史上最大规模的入侵,5部未上映的电影资源泄露,直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻,敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗,随之员工便遭到黑客组织GOP的恐怖威胁。

至于攻击者背后真正的主谋是谁,一时间众说纷纭。美国方面指责是朝鲜黑客所为,因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象;还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁?所为何因?至今不得而知……

事件发生之后,趋势科技的专家发现索尼员工电脑屏幕上那张图片是由强大的恶意程序BKDR_WIPALL生成的。该恶意程序会删除计算机文件,终止微软信息存储服务等。

原来是Destover擦除了系统上的犯罪数据

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件,他们发现了一种非常复杂的磁盘清理代码叫做Destover,它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中,Destover曾被用于擦除系统上的数据,但是安全专家们发现Destover变种功能改变很大。去年12月份的时候,卡巴斯基实验室的安全专家发现了一种Destover恶意程序,其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测,并且很难被取证调查,因为Destover变种有能力改变文件的时间戳并清除日志,所以很难被取证。

攻击者主要使用两个工具来清除日志和时间戳:setMFT用于复制磁盘源文件时间戳到目标文件上,也被称之为timestomping;afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性,包括构建时间和校验和。从这两个工具来看,主谋一定是一个组织结构非常严谨的组织。

在受害者网络内获得立足点是首要任务。历史告诉我们,重大入侵事件登上头条的时候,说明攻击者已经在受害者网络中潜伏数月并且已经获得大量数据。”

不同攻击阶段的任务

下面的表格中详细汇总了不同攻击阶完成的主要任务:

* 参考来源:SA、FreeBuf,小编综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-11-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏农夫安全

如何给企业做好基本的网络安全防御工作

企业防御 这里总结的是企业在做安全防御的统筹方法,并不是具体某个漏洞如何修复~ 信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏...

9214
来自专栏云计算D1net

云应用服务到底有多安全?

2039
来自专栏安恒信息

“蹭网”而出现网银被盗现象,蹭网需谨慎

现在越来越多的商场、饭店等公众场所都在为顾客提供免费的WIFI,“蹭网族”也由此越来越壮大。然而日前有报道称,有人因“蹭网”而出现了网银被盗现象。加拿大通...

3567
来自专栏FreeBuf

99%的人都不知道的秘密:世上竟有如此酷炫的钓鱼系统!

钓鱼作为从远古时期出现的手段,到现在的风靡在各种成功的攻击案例中几乎成为一个高级hacker必不可少的技能。

1214
来自专栏FreeBuf

攻击者利用7号信令(SS7)中的漏洞从德国银行偷取钱财

近日,位于德国的O2-Telefonica公司通过《南德意志报》证实,其公司的部分客户遭受到利用SS7漏洞的网络劫持者攻击。 SS7(7)信号系统协议 —— 缺...

2777
来自专栏后端技术探索

Nginx与淘宝Tengine的渊源

2002年俄罗斯门户网站Rambler的程序员Igor Sysoev为Rambler.ru开发出Nginx,这是一款Web服务器、HTTP反向代理和邮件代理服务...

1342
来自专栏开源项目

有哪些微信小程序值得推荐?| 码云周刊第 71 期

2453
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–回扣处理(926)-1业务概览

用途 回扣(协议)是一种向客户回溯付款的特殊折扣。 此折扣基于预定义时间期间的客户销售量,回扣将由客户服务人员通过创建贷项凭单进行结算,此贷项凭单将按照先...

3384
来自专栏SAP最佳业务实践

办公室的6S管理

6S管理在办公室中实施,一是为了给企业员工有一个好的工作环境,二是给顾客一个好的印象,好的第一印象就标着成功了一半。   办公室也是企业管理人员工作的场所,同时...

3057
来自专栏织云平台团队的专栏

看世界杯直播?海外运维实践了解一下

2833

扫码关注云+社区

领取腾讯云代金券