新闻链接：http://t.cn/RUdOWcf00.jpg
新闻时间：2015-11-28
2014年年末，索尼影视遭遇史上最大规模的入侵，5部未上映的电影资源泄露，直接造成的经济损失就达数亿美元。然而潜在的经济损失更为严峻，敏感商业信息和内部员工几十千兆字节的敏感数据一同被盗，随之员工便遭到黑客组织GOP的恐怖威胁。

至于攻击者背后真正的主谋是谁，一时间众说纷纭。美国方面指责是朝鲜黑客所为，因为索尼影视一部未上映的电影——《刺杀金正恩》中的故事情节有损金正恩的形象；还有一部分人指责是俄罗斯的黑客所为。到底主谋是谁？所为何因？至今不得而知……

事件发生之后，趋势科技的专家发现索尼员工电脑屏幕上那张图片是由强大的恶意程序BKDR_WIPALL生成的。该恶意程序会删除计算机文件，终止微软信息存储服务等。

0.jpg

原来是Destover擦除了系统上的犯罪数据

Damballa的安全专家Willis McDonald和Loucif Kharouni深入分析了索尼影视事件，他们发现了一种非常复杂的磁盘清理代码叫做Destover，它会利用新发现的反取证工具隐藏踪迹。

在索尼影视事件中，Destover曾被用于擦除系统上的数据，但是安全专家们发现Destover变种功能改变很大。去年12月份的时候，卡巴斯基实验室的安全专家发现了一种Destover恶意程序，其数字签名所用的证书是从索尼影视偷来的。

Destover变种会使用组件来躲避检测，并且很难被取证调查，因为Destover变种有能力改变文件的时间戳并清除日志，所以很难被取证。攻击者主要使用两个工具来清除日志和时间戳：setMFT用于复制磁盘源文件时间戳到目标文件上，也被称之为timestomping；afset工具用于擦除基于时间和身份的windows日志、修改可执行的属性，包括构建时间和校验和。从这两个工具来看，主谋一定是一个组织结构非常严谨的组织。

000.jpg

“在受害者网络内获得立足点是首要任务。历史告诉我们，重大入侵事件登上头条的时候，说明攻击者已经在受害者网络中潜伏数月并且已经获得大量数据。”
不同攻击阶段的任务

下面的表格中详细汇总了不同攻击阶完成的主要任务：

0000.png

* 参考来源securityaffairs，freebuf，综合整理，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

[课程]Linux pwn 探索篇！