ک
میته رکن چهارم – محققان دو ابزار جدید را شناسایی کردند که مربوط به بدافزار wiper می باشد. این بدافزار سال گذشته شبکه کامپیوتری Sony Pictures را تخریب کرد.
به گزارش کمیته رکن چهارم،پس از سرقت هویت اطلاعات لاگین مشتری، مهاجمان توانستند با استفاده از بدافزار حذف کننده “Destover” فایل های شرکت را حذف نمایند.
هفته گذشته، ویل مک دونالد و لوسیف خارونی از محققان شرکت Damballa گزارشی را منتشر کردند که در آن دو ابزار مورد استفاده مهاجمان برای عدم تشخیص در شبکه سونی توضیح داده شده است. این دو ابزار setMFT و afset نامیده شده اند.
imestomping روشی است که این دو ابزار از آن استفاده می کردند تا بتوانند فایل های مخرب را در دایرکتوری مخفی کنند. بررسی های فارنسیکی در تاریخ ثبت فایل ها و احتمالا لاگ فایل ها می تواند مشخص نماید که کدام فایل ها timestomp شده می باشند و با این روش ایجاد شده اند.
این دو محقق هم چنین خاطر نشان کردند که ابزار setMFT از طریق خط فرمان با مهاجمان در تعامل بوده است. ابزار دیگر یک ابزار Timestomping بوده است که لاگ های ویندوز مایکروسافت را حذف می کرده است.
این دو ابزار با کمک هم باعث شده است تا مهاجم خرابکار به شبکه سونی نفوذ نماید، راه حل های دفاعی را غیرفعال کند و ردگیری ها را پنهان کند. اگر این بدافزار در آن زمان توسط آنتی ویروسی با موفقیت شناسایی نمی شد، مهاجمان می توانستند با استفاده این دو ابزار برای مدت قابل توجهی غیر قابل ردگیری باقی بمانند.
منبع:مرکز ماهر
