最新的backtrack5(bt5)官方网站已经提供下载,backtrack5是基于ubuntu Lucid LTS. 内核2.6.38开发的,完全开源并和GPL兼容。

Backtrack 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 781|回复: 1

安全专家揭秘索尼影业被黑事件攻击原理

[复制链接]
咎鸿博
理鹏天

2014年年末,索尼影视遭遇史上最大规模的入侵,5部未上映的电影资源泄露,直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻,敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗,随之员工便遭到黑客组织GOP的恐怖威胁。

至于攻击者背后真正的主谋是谁,一时间众说纷纭。美国方面指责是朝鲜黑客所为,因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象;还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁?所为何因?至今不得而知……

事件发生之后,趋势科技的专家发现索尼员工电脑屏幕上那张图片是由强大的恶意程序BKDR_WIPALL生成的。该恶意程序会删除计算机文件,终止微软信息存储服务等。

原来是Destover擦除了系统上的犯罪数据

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件,他们发现了一种非常复杂的磁盘清理代码叫做Destover,它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中,Destover曾被用于擦除系统上的数据,但是安全专家们发现Destover变种功能改变很大。去年12月份的时候,卡巴斯基实验室的安全专家发现了一种Destover恶意程序,其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测,并且很难被取证调查,因为Destover变种有能力改变文件的时间戳并清除日志,所以很难被取证。攻击者主要使用两个工具来清除日志和时间戳:setMFT用于复制磁盘源文件时间戳到目标文件上,也被称之为timestomping;afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性,包括构建时间和校验和。从这两个工具来看,主谋一定是一个组织结构非常严谨的组织。

“在受害者网络内获得立足点是首要任务。历史告诉我们,重大入侵事件登上头条的时候,说明攻击者已经在受害者网络中潜伏数月并且已经获得大量数据。”

不同攻击阶段的任务

下面的表格中详细汇总了不同攻击阶完成的主要任务:

* 参考来源securityaffairsfreebuf


+1
782°C
1
  • 佛山分站8kz
过: 他们
彩蓓
钱赞悦
请楼主继续发好贴,支持你












您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。它的名字引用自回溯法(backtracking)。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。BackTrack还支持Live CD和Live USB启动方式,用户可以直接从移动介质启动该系统而不用将系统安装在硬盘上。BackTrack被设计成一体化的旨在安全审计用的livecd,曾经它是被最广泛采用的渗透测试框架并被世界各地的安全社区所使用。现在,BackTrack已被Kali Linux所代替,BT将不再维护。
快速回复 返回顶部 返回列表