近日，企業(yè)威脅防護(hù)專家Damaballa發(fā)現(xiàn)了兩個(gè)程序，這兩個(gè)程序與去年攻擊索尼影視娛樂公司的惡意軟件密切相關(guān)。
 

這是該公司在調(diào)查Destover惡意軟件新版本的過程中發(fā)現(xiàn)的，這個(gè)惡意軟件使得超過千兆字節(jié)索尼公司敏感信息被竊取，并且公司成千上萬的電腦無法正常運(yùn)行。
 

索尼公司信息泄漏事件的一個(gè)關(guān)鍵問題就是攻擊者是怎樣避開安全系統(tǒng)的。Damaballa 發(fā)現(xiàn)的這兩個(gè)程序能夠使得系統(tǒng)識(shí)別不出新文件。
 

“這兩個(gè)程序被用于在攻擊過程中逃避檢測，同時(shí)可以通過網(wǎng)絡(luò)擴(kuò)大攻擊面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三發(fā)布的博客上寫道。
 

其中一個(gè)叫做setMFT的工具運(yùn)用的技術(shù)被稱之為時(shí)間暫留(timestopping)，這種技術(shù)可以使得文件呈現(xiàn)出不同的時(shí)間戳。該技術(shù)通常被用于將重命名的新文件融入其他文件組之中。
 

“這種手段可以使得文件躲過安全部門對(duì)于惡意文件的檢索，在一段時(shí)間后再重新創(chuàng)建。”他們寫道，“時(shí)間暫留技術(shù)可以逃過粗略的檢查。”
 

另一個(gè)工具叫做afset，它用于時(shí)間暫留技術(shù)，以及清除存儲(chǔ)在微軟系統(tǒng)中的登陸記錄。該工具也可以更改生成時(shí)間和可執(zhí)行文件的校驗(yàn)和。
 

“afset讓攻擊者處于隱身狀態(tài)，在他們肆意網(wǎng)絡(luò)的時(shí)候清除蹤跡，”他們寫道，“對(duì)于系統(tǒng)的全方面分析才可以揭示afset的存在和被清除的登錄記錄，但是很有可能在最初創(chuàng)建惡意文件的高危感染時(shí)間里，這種攻擊行為是不會(huì)被檢測出來的。”
 

對(duì)于公司來說，檢測出網(wǎng)絡(luò)中的入侵者是很困難的一件事，特別是攻擊者使用的是從授權(quán)用戶那里竊取的有效登陸憑據(jù)。這兩種程序使得檢測到非正常活動(dòng)的可能性越來越小了。
 

研究人員說，只有一種防病毒產(chǎn)品可以檢測出這兩種工具。這足以說明這個(gè)惡意軟件的新版本至少在最初階段不會(huì)被發(fā)現(xiàn)。這些工具使得攻擊者可以竊取網(wǎng)絡(luò)憑據(jù)并且躲開防御，這種功能讓攻擊者們可以在很長一段時(shí)間里在整個(gè)網(wǎng)絡(luò)里暢通無阻。