Script revierte los registros de doctored tools hacking NSA
Los investigadores de seguridad han encontrado una forma de revertir los efectos de una utilidad de piratería NSA que borra los registros de eventos de máquinas comprometidas.
La semana del 4 de diciembre, Fox-IT publicó un script en Python que recupera las entradas de registro de eventos que eliminan mediante la utilidad "eventlogedit" que es parte de DanderSpritz, una supuesta NSA arma cibernética que se filtró en línea por un grupo de hackers conocido como los Shadow Brokers.Según Fox-IT, se encontraron con un defecto en el limpiador de registro DanderSpritz cuando se dieron cuenta de la utilidad en realidad no eliminar las entradas de registro de eventos, sino que sólo los unreferences, la fusión de las entradas juntos.
Por defecto, se fusionará DanderSpritz "comprometer" el registro con la entrada del registro limpio antes.Cuando la aplicación Windows Event Log lee un archivo de registro adulterado, se leerá la versión limpia, consulte la etiqueta de cierre, e ignorar todos los contenidos de los eventos sin referencias "malas".
Este truco ingenioso permite a los atacantes ocultan acciones maliciosas en las máquinas comprometidas. Utilizando la nueva de Fox-IT danderspritz-evtx script, los investigadores ahora pueden reconstruir el archivo de registro original y rastrear las huellas del atacante.
El script está disponible en GitHub y es una necesidad para las personas que investigan las máquinas comprometidas. Debido a que DanderSpritz se ha filtrado hacia la mitad del 2017, esto significa que más de agentes de la NSA lo están utilizando hoy en día, y algunas organizaciones ciber-criminales y las familias de malware podrían haber integrado la técnica en el corazón del componente "eventlogedit" en su propio arsenales.
Que es es DanderSpritz
DanderSpritz es un framework para la explotación de compromiso que incluye muchas otras utilidades, además de la capacidad de limpiar los registros. La NSA utiliza generalmente junto con FuzzBunch, un marco explotación.Agentes de la NSA usarían FuzzBunch para cargar y ejecutar exploits en equipos de destino, y luego desplegar DanderSpritz para encontrar y extraer datos sensibles, que se distribuyen a los equipos cercanos, y eliminar cualquier rastro de compromiso.
"Piense en ello como la versión de estado nación de Meterpreter de Metasploit pero con detección automática de Anti-Virus y la evitación, y tonelada de (antes) herramientas indetectables para volcar contraseñas, reunir información, aumento de la persistencia, y se mueven lateralmente," Francisco Donoso, un investigador Kudelski de Seguridad escribió sobre DanderSpritz mayo pasado.