شماره: IRCNE2015112695
تاريخ: 09/03/94
محققان دو ابزار جديد را شناسايي كردند كه مربوط به بدافزار wiper مي باشد. اين بدافزار سال گذشته شبكه كامپيوتري Sony Pictures را تخريب كرد.
پس از سرقت هويت اطلاعات لاگين مشتري، مهاجمان توانستند با استفاده از بدافزار حذف كننده “Destover” فايل هاي شركت را حذف نمايند.
هفته گذشته، ويل مك دونالد و لوسيف خاروني از محققان شركت Damballa گزارشي را منتشر كردند كه در آن دو ابزار مورد استفاده مهاجمان براي عدم تشخيص در شبكه سوني توضيح داده شده است. اين دو ابزار setMFT و afset ناميده شده اند.
imestomping روشي است كه اين دو ابزار از آن استفاده مي كردند تا بتوانند فايل هاي مخرب را در دايركتوري مخفي كنند. بررسي هاي فارنسيكي در تاريخ ثبت فايل ها و احتمالا لاگ فايل ها مي تواند مشخص نمايد كه كدام فايل ها timestomp شده مي باشند و با اين روش ايجاد شده اند.
اين دو محقق هم چنين خاطر نشان كردند كه ابزار setMFT از طريق خط فرمان با مهاجمان در تعامل بوده است. ابزار ديگر يك ابزار Timestomping بوده است كه لاگ هاي ويندوز مايكروسافت را حذف مي كرده است.
اين دو ابزار با كمك هم باعث شده است تا مهاجم خرابكار به شبكه سوني نفوذ نمايد، راه حل هاي دفاعي را غيرفعال كند و ردگيري ها را پنهان كند. اگر اين بدافزار در آن زمان توسط آنتي ويروسي با موفقيت شناسايي نمي شد، مهاجمان مي توانستند با استفاده اين دو ابزار براي مدت قابل توجهي غير قابل ردگيري باقي بمانند.
- 6