脚本danderspritz-evtx：可恢复由NSA黑客工具删除的事件日志

“用指尖改变世界”

在上周，安全研究人员Fox-IT发布了一个Python脚本，该脚本可用于恢复通过使用黑客工具“DanderSpritz”的实用插件“eventlogedit”删除的事件日志文件。

黑客组织影子经纪人(Shadow Brokers)在去年声称攻破了为美国国家安全局(NSA)开发网络武器的美国黑客组织Equation Group的计算机系统，并下载了大量的黑客工具(包括恶意软件、开发框架及其它工具)。并在之后陆续对这些工具进行了在线公布，DanderSpritz就是其中之一。

DanderSpritz是一个开发框架，除了删除事件日志文件的功能外，还包括许多其他功能插件。NSA通常将它与开发框架FuzzBunch一起使用，使用FuzzBunch能够在目标计算机上加载和运行漏洞攻击，随后通过部署DanderSpritz来查找和提取敏感数据。此外，还会危及到附近的计算机，并消除所有入侵痕迹。

根据Fox-IT的描述，他发现DanderSpritz存在一个漏洞，这让他意识到这个工具似乎并不是真正意义上的删除了事件日志文件，而只是将它们重新引用并进行了合并。

默认情况下，DanderSpritz会将一个或多个受感染的事件日志文件与其之前的干净版本进行合并，形成一个篡改后版本。

当Windows事件日志应用程序读取一个篡改后的事件日志文件时，它只会查看结束标记，而忽视掉引入的受感染部分。

这个巧妙的技巧允许攻击者在被破坏的计算机上隐藏恶意操作，而使用Fox-IT发布的脚本danderspritz-evtx(github.com/fox-it/danderspritz-evtx)就可以重建原始事件日志文件以及发现攻击者的操作痕迹。

值得强调的是，由于DanderSpritz已经泄漏了近半年多的时间，这意味着除了NSA以外，还有很多人可能正在使用它。甚至，一些网络犯罪组织或者恶意软件开发者可能已经将这一技术整合到了他们自己的“eventlogedit”组件核心库中。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。