l+f: Wie die Sony-Hacker ihre Spuren verwischt haben
Eine Analyse der Destover-Malware förderte zwei Tools zutage, die den Ermittlern das Leben schwer machen.
Die Sicherheitsforscher Loucif Kharouni und Willis McDonald des Sicherheitsunternehmens Damballa haben die aktuelle Version der im Sony-Pictures-Hack [1] eingesetzte Malware Destover analysiert [2] und herausgefunden, wie die Hacker ihre Spuren verwischt haben.
Dabei sollen zwei Tools zum Einsatz gekommen sein. SetMFT manipuliert den Zeitstempel von Dateien, sodass Ermittler die Spur schwerer aufnehmen können. Das afset-Tool löscht zudem Logdateien von Windows und modifiziert die Checksumme von Exe-Dateien, was die Spurensuche weiter erschwert, erläutern McDonald und Kharouni.
lost+found [3]: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(des [4])
URL dieses Artikels:
https://www.heise.de/-3014594
Links in diesem Artikel:
[1] http://www.heise.de/thema/Sony_Pictures_Hack
[2] https://www.damballa.com/damballa-discovers-new-toolset-linked-to-destover-attackers-arsenal-helps-them-to-broaden-attack-surface/
[3] http://www.heise.de/security/suche/?q=lost%2Bfound&search_submit.x=0&search_submit.y=0&rm=search
[4] mailto:des@heise.de
Copyright © 2015 Heise Medien