فایل‌های Log که توسط ابزارِ آژانس امنیت ملی دست‌کاری شده‌اند، قابل بازیابی هستند

 

محققان امنیتی از شرکت Fox-IT ابزاری را توسعه داده اند که به مدیران کمک می کند تا آلوده شدن سیستم به بدافزارهای مرتبط با آژانس امنیت ملی آمریکا را شناسایی کرده و رکوردهای داده ای که قبلا توسط بدافزار حذف شده بودند را بازیابی کنند. 


قبلا در خبرها دیدیم که یک گروه نفوذ با نام Shadow Brokers تعدادی از ابزارهای نفوذ متعلق به آژانس امنیت ملی آمریکا را به سرقت برده و به طور عمومی منتشر کرد. یکی از همین ابزارها که در ماه آوریل منتشر شد DanderSpritz نام داشت و یک ابزار پیش‌-نفوذ بود که داده های قربانی را جمع آوری کرده، ابزارهای امنیتی را غیرفعال می کرد و به طور مستمر در سطح شبکه توزیع می شد.


ابزار DanderSpritz دارای یک افزونه‌ی جالب به نام EventLogEdit بود که به نفوذگر کمک می‌کرد تا رکوردهای ثبت و ضبط‌شده توسط ویندوز را حذف کند و بتواند بر روی سیستم قربانی ردپایی از خود به جا نگذارد. این در حالی است که تاکنون دیده نشده بود که ابزارهای نفوذ بتوانند این رکوردهای ثبت‌شده را تغییر دهند و EventLogEdit می‌تواند بدون اینکه نشانی از تغییر بر روی فایل جا بگذارد، رکوردهای ثبت‌شده توسط نرم‌افزارهای امنیتی را حذف کند.


باتوجه به اینکه این ابزار به‌طور عمومی منتشر شده، حتی نفوذگران با مهارت‌های سطح پایین نیز می‌توانند حملات خود را غیرقابل ردیابی کرده و عملیات جرم‌شناسی را با مشکل مواجه سازند. خوشبختانه محققان امنیتی ابزاری را توسعه داده‌اند که می‌تواند نصب بودن EventLogEdit را بر روی یک سیستم تشخیص داده و رکوردهای ثبتی که قبلا حذف شده است را بازیابی کند. 


محققان همچنین اشاره کرده‌اند شرکت‌هایی که رکوردهای ثبت‌شده را به‌طور بلادرنگ به سرورهای راه دور ارسال می‌کنند، در این زمینه مشکلی ندارند ولی وقتی نفوذگران حرفه‌ای سرورهای راه دور را نیز آلوده می‌کنند، این مشکل پیچیده‌تر می‌شود. ولی به این خاطر که EventLogEdit رکورد حذف شده و سرآیند رکورد را در وضعیت واقعی باقی می‌گذارد، احتمال بازیابی رکوردهای حذف‌شده وجود دارد. 


این گروه از محققان یک اسکریپت متن‌باز پایتون منتشر کرده‌اند که رکوردهای ثبتیِ حذف‌شده را شناسایی کرده و گزارش می‌دهد و به شرکت‌ها این امکان را می‌دهد تا بررسی کنند که آیا هدف حملات بدافزارهای متعلق به آژانس امنیت ملی قرار گرفته‌اند یا خیر. کاربرانی که نمی‌خواهند کدهای این ابزار را مجددا خودشان کامپایل کنند، می‌توانند فایل اجرایی برای ویندوز را دانلود کنند.

 

منبع
 

پست‌های مشابه

Leave a Comment