محققان امنیتی از شرکت Fox-IT ابزاری را توسعه داده اند که به مدیران کمک می کند تا آلوده شدن سیستم به بدافزارهای مرتبط با آژانس امنیت ملی آمریکا را شناسایی کرده و رکوردهای داده ای که قبلا توسط بدافزار حذف شده بودند را بازیابی کنند.
قبلا در خبرها دیدیم که یک گروه نفوذ با نام Shadow Brokers تعدادی از ابزارهای نفوذ متعلق به آژانس امنیت ملی آمریکا را به سرقت برده و به طور عمومی منتشر کرد. یکی از همین ابزارها که در ماه آوریل منتشر شد DanderSpritz نام داشت و یک ابزار پیش-نفوذ بود که داده های قربانی را جمع آوری کرده، ابزارهای امنیتی را غیرفعال می کرد و به طور مستمر در سطح شبکه توزیع می شد.
ابزار DanderSpritz دارای یک افزونهی جالب به نام EventLogEdit بود که به نفوذگر کمک میکرد تا رکوردهای ثبت و ضبطشده توسط ویندوز را حذف کند و بتواند بر روی سیستم قربانی ردپایی از خود به جا نگذارد. این در حالی است که تاکنون دیده نشده بود که ابزارهای نفوذ بتوانند این رکوردهای ثبتشده را تغییر دهند و EventLogEdit میتواند بدون اینکه نشانی از تغییر بر روی فایل جا بگذارد، رکوردهای ثبتشده توسط نرمافزارهای امنیتی را حذف کند.
باتوجه به اینکه این ابزار بهطور عمومی منتشر شده، حتی نفوذگران با مهارتهای سطح پایین نیز میتوانند حملات خود را غیرقابل ردیابی کرده و عملیات جرمشناسی را با مشکل مواجه سازند. خوشبختانه محققان امنیتی ابزاری را توسعه دادهاند که میتواند نصب بودن EventLogEdit را بر روی یک سیستم تشخیص داده و رکوردهای ثبتی که قبلا حذف شده است را بازیابی کند.
محققان همچنین اشاره کردهاند شرکتهایی که رکوردهای ثبتشده را بهطور بلادرنگ به سرورهای راه دور ارسال میکنند، در این زمینه مشکلی ندارند ولی وقتی نفوذگران حرفهای سرورهای راه دور را نیز آلوده میکنند، این مشکل پیچیدهتر میشود. ولی به این خاطر که EventLogEdit رکورد حذف شده و سرآیند رکورد را در وضعیت واقعی باقی میگذارد، احتمال بازیابی رکوردهای حذفشده وجود دارد.
این گروه از محققان یک اسکریپت متنباز پایتون منتشر کردهاند که رکوردهای ثبتیِ حذفشده را شناسایی کرده و گزارش میدهد و به شرکتها این امکان را میدهد تا بررسی کنند که آیا هدف حملات بدافزارهای متعلق به آژانس امنیت ملی قرار گرفتهاند یا خیر. کاربرانی که نمیخواهند کدهای این ابزار را مجددا خودشان کامپایل کنند، میتوانند فایل اجرایی برای ویندوز را دانلود کنند.