研究人员可用脚本恢复NSA黑客工具篡改的事件日志

安全研究人员找到了一种方法来扭转NSA黑客漏洞利用工具的效果---工具会从机器中删除事件日志。

Fox-IT在上周发布了一个Python脚本，脚本可以将DanderSpritz中的“eventlogedit” 利用程序中删除的事件日志条目恢复出来。黑客组织Shadow Brokers早先将NSA的漏洞利用程序发布在网络上，而其中就包含DanderSpritz。

Fox-IT表示，他们发现了DanderSpritz日志清理工具中的一个漏洞，他们发现这个工具并没有真正删除事件的日志条目，而只是将它们重新引用，合并条目。

默认情况下，DanderSpritz会将一个或多个“含有入侵记录”日志条目与其之前“干净”的日志条目合并。

当Windows事件日志应用程序读取一个篡改的日志文件时，它将读取“干净”的版本，查看结束标记，并忽略未引用的“不良”事件的所有内容。

这个漂亮的技巧可以让攻击者在受感染机器上隐藏恶意行为，使用Fox-IT新的danderspritz-evtx脚本，调查人员现在可以重建原始日志文件并追踪攻击者的痕迹。

该脚本可以在github上得到，并且是调查受感染机器的人员的必备工具。

由于DanderSpritz已经泄漏了半年多，这意味着目前不仅仅是NSA的操作人员在使用它，一些网络犯罪组织和恶意软件家族可能已经将这一技术集成到自己兵器库中“eventlogedit”的核心部分。

DanderSpritz

DanderSpritz是一个漏洞利用框架，除清理日志功能外，还包括许多其他的功能。 NSA通常将它与FuzzBunch（漏洞利用框架）结合起来一起使用。

NSA的工作人员使用FuzzBunch在目标计算机上加载和执行exp，随后使用DanderSpritz来查找和提取敏感数据，传播到附近的计算机，并消除入侵的痕迹。

Kudelski Security的 研究员Francisco Donoso 在今年五月写了篇关于DanderSpritz的文章，称只需把它想象成Metasploit Meterpreter的国家版本，但具有自动化的反病毒检测和规避功能，以及大量（以往）无法检测到的工具来转储密码，收集信息。

来源：bleepingcomputer

本文由看雪翻译小组 fyb波 编译

往期热门内容推荐