主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

安全专家揭秘索尼影业被黑事件攻击原理
2015-11-28 08:00:12

2014年年末,索尼影视遭遇史上最大规模的入侵,5部未上映的电影资源泄露,直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻,敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗,随之员工便遭到黑客组织GOP的恐怖威胁。

至于攻击者背后真正的主谋是谁,一时间众说纷纭。美国方面指责是朝鲜黑客所为,因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象;还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁?所为何因?至今不得而知……

事件发生之后,趋势科技的专家发现索尼员工电脑屏幕上那张图片是由强大的恶意程序BKDR_WIPALL生成的。该恶意程序会删除计算机文件,终止微软信息存储服务等。

原来是Destover擦除了系统上的犯罪数据

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件,他们发现了一种非常复杂的磁盘清理代码叫做Destover,它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中,Destover曾被用于擦除系统上的数据,但是安全专家们发现Destover变种功能改变很大。去年12月份的时候,卡巴斯基实验室的安全专家发现了一种Destover恶意程序,其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测,并且很难被取证调查,因为Destover变种有能力改变文件的时间戳并清除日志,所以很难被取证。攻击者主要使用两个工具来清除日志和时间戳:setMFT用于复制磁盘源文件时间戳到目标文件上,也被称之为timestomping;afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性,包括构建时间和校验和。从这两个工具来看,主谋一定是一个组织结构非常严谨的组织。

“在受害者网络内获得立足点是首要任务。历史告诉我们,重大入侵事件登上头条的时候,说明攻击者已经在受害者网络中潜伏数月并且已经获得大量数据。”

不同攻击阶段的任务

下面的表格中详细汇总了不同攻击阶完成的主要任务:

* 参考来源securityaffairsfreebuf,综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 索尼影视
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦