Onderzoekers ontdekken tools die gebruikt werden bij Sony Pictures-hack

Onderzoekers hebben nieuwe tools binnen de Destover-malware gevonden die inzicht geven in hoe hackers een jaar geleden bij de servers van Sony Pictures wisten binnen te dringen. De twee tools zijn in staat om timestamps te vervalsen en logbestanden aan te passen.

Onderzoekers van het Amerikaanse cyberbeveiligingsbedrijf Damballa ontdekten de tools, genaamd setMFT en afset in een recent monster van de Destover-malware, dat gebruikt werd bij de Sony Pictures-hack. Volgens de onderzoekers waren de twee bestanden ten tijde van de hack ook gesignaleerd, maar niet verder in verband gebracht met Destover. De tools helpen bij het onopgemerkt blijven in het netwerk en verspreiding binnen datzelfde netwerk.

SetMFT is in staat om timestamps van bestanden te vervalsen om er zo voor te zorgen dat een nieuw geïntroduceerd bestand niet opvalt tussen de andere bestanden op de server. Op die manier zijn simpele bestandsscans en beveiligingspersoneel dat handmatige controles uitvoert, om de tuin te leiden. Een grondigere controle zou echter onthullen dat de timestamps van de bestanden niet overeenkomen met schrijfdata en log-bestanden. De tools maken gebruik van een driver die Destover zelf ook gebruikt.

De tweede tool, afset, is ook in staat om timestamps aan te passen en kan daarnaast ook Windows-logs schoonvegen op basis van criteria als id en time. Op die manier kunnen de schrijfoperaties van de malware-bestanden verhuld worden. Hoewel volgens Damballa met een volledige analyse van het systeem de aanwezigheid en sporen van afset en setMFT gevonden kunnen worden, bieden de tools een aanvaller wel meer dan genoeg tijd om zijn werk te doen.

Sony Pictures werd in november van 2014 gehackt door een groepering die zichzelf Guardians of Peace noemt. De aanvallers hadden e-mailadressen, wachtwoorden, documenten en financiële data bemachtigd. Ook hebben ze films van Sony Pictures bemachtigd en gepubliceerd. De e-mails en documenten werden eerder dit jaar via Wikileaks verspreid. In totaal ging het om de gegevens van 47.000 medewerkers van het bedrijf. Volgens de Amerikaanse regering zit Noord-Korea achter de hack.

IT-banen

Reacties (16)

Jeoh 23 november 2015 12:10

Is dit nou echt nieuwswaardig? CreationTime, LastAccessTime en LastWriteTime (en de UTC-varianten) kan je gewoon aanpassen. Daar heb je geen tool voor nodig, een paar lijntjes PowerShell zijn voldoende: http://blogs.technet.com/...e-access-time-stamps.aspx

Precies hetzelfde voor het verwijderen van Event Logs met Remove-EventLog.

Binnenkort op Tweakers: Hackers gebruiken nmap om netwerk in kaart te brengen!!1

Distrax1988 @Jeoh • 23 november 2015 14:10

Het gaat niet om de techniek die gebruikt is maar de manier waarop het toegepast is, een bom is ook te maken met eenvoudige huishoudspullen toch laten ze de aanslagen in Boston en Parijs ook zeker in het nieuws komen (nee ik vergelijk mensen levens niet met ICT, ik vergelijk alleen het matriaal/software welk voor iedereen toegangkelijk is en hoe deze ingezet is)

-Wireshark is gebruikt om achter een voice gesprek te komen, gaat het dan om de software of de manier om het gesprek te achterhalen?
-Live Bulk mailer laat een server crashen, gaat het dan om de software of de crash?
-PuTTY is gebruikt voor een SSH verbinding in een router, gaat het dan om de software of de hack
etc.

[Reactie gewijzigd door Distrax1988 op 24 juli 2024 08:19]

Jeoh @Distrax1988 • 23 november 2015 14:36

Ze doen nu alsof het heel geadvanceerd is om een timestamp aan te passen. Dat is dus niet zo. Het is misschien interessant als onderdeel van het gehele onderzoek, maar op zich is het totaal niet spannend.

Alfa1970 @Jeoh • 23 november 2015 15:22

Inderdaad dit is een woohoo verhaal dat nog eens extra dik vet wordt aangezet door te vermelden dat ze gebruik hebben gemaakt van een driver. shock. horror.

De enige nieuwswaarde is feitelijk dat het Sony met default systeem tools was te hacken. De rest van het verhaal is fluff voor clickbait.

Edgarz @Jeoh • 23 november 2015 18:30

Op je eigen systeem is dat niet moeilijk, wel als je met de nodige beperkingen of directe user interactie deze zaken moet uitvoeren. Zie de vergelijking met een bom. Het feit dat deze met simpele en vrij verkrijgbare ingrediënten te maken is in je huiskamer maakt het plaatsen en detoneren nog niet tot een niet-nieuwswaardig feit.

anargeek @Jeoh • 23 november 2015 13:57

Precies, het zijn niet echt imposante hacker-technieken te noemen als je met een snelle google-search op stackoverflow/superuser de exacte commandos kan vinden hoe je dit doet

aval0ne @Jeoh • 23 november 2015 20:20

Ik vind dit nieuwswaardig. Als ik dat niet zou vinden dan zou ik het artikel gewoon niet lezen of op reageren. En anderen die dit wel nieuwswaardig vinden zou ik hun tijd niet verdoen met nutteloze reacties.

stresstak @Jeoh • 23 november 2015 12:38

Binnenkort op Tweakers: Hackers gebruiken nmap om netwerk in kaart te brengen!!1

Maar het verhaal gaat verder. "Hackers gebruiken nmap om netwerk in kaart te brengen!!'', maar na problemen werd daar verder niet naar gekeken tijdens het onderzoek naar de oorzaak.

CyberDonky 23 november 2015 11:39

Waren er 2 bestanden of juist 2 tools gesignaleerd? Als het 2 tools zijn, dan vraag ik me toch af waarom een onderzoeker dit niet gaat uitpluizen? Ik snap dat de infrastructuur / omgeving groot en complex is, maar je gaat toch wel analyseren en verifiëren wat zo'n tool als SetMFT en AFSET.exe in de omgeving doet?

Zijn deze twee tools (AFSET.EXE / SetMFT.EXE) meegeven aan de malware en heeft deze zich d.m.v. een exploit laten plaatsen?

Het is best wel kwalijk dat je vervolgens deze 2 tools/bestanden signaleert en verder geen onderzoek naar doet.
En dat vervolgens na een rapport dat Symantec heeft uitgebracht over het gedrag van de Destover-malware..

Discovered: December 1, 2014
Updated: December 3, 2014 9:21:35 PM
Type: Trojan
Systems Affected:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
When the Trojan is executed, it creates the following file:
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup[THREAT FILE NAME]

The Trojan then connects to the following IP addresses and ports:
203.131.222.102 on TCP port 443
208.105.226.235 on TCP port 443

The Trojan may then perform the following actions:
Delete files
Change files' time stamps
Execute commands through cmd.exe
Create processes
List running processes
End processes
Gather system information

After infecting a PC, Symantec says the malware has the ability to create and execute processes using the Windows command-line prompt, gather system information, change files' time stamps, as well as delete files.

Link: http://www.symantec.com/s...14-120209-5631-99&tabid=2

Als je denkt aan 'set', 'afset' ga je je toch ook wel wat afvragen... en is het forensisch proces wel goed uitgevoerd? Informatie vergaren -> analyseren -> verifieren.. oh wacht.

[Reactie gewijzigd door CyberDonky op 24 juli 2024 08:19]

jmerle @CyberDonky • 23 november 2015 11:47

Dan zou je je ook kunnen afvragen waarom sommige luchthavens nog Windows 3.1 draaien en waarom sommige gemeentes een hele tijd nadat de officiële support afgelopen was nog Windows XP draaide.

Het verifiëren en analyseren kost tijd en geld, en ondanks dat het natuurlijk heel belangrijk is om het wel te doen zijn er altijd nog bedrijven die dit niet zien.

CyberDonky @jmerle • 23 november 2015 11:50

Ja, dat is weer een heel ander verhaal. Het gaat hier om forensische processen en Sony heeft enorm veel schade geleid. Niemand kan het goedpraten.. ook dat van luchthavens nog op Windows 3.1 draaien.

De onderzoekers hebben duidelijk te laat ingezien dat deze 2 tools/bestanden betrekking hebben tot het Destover-malware. Je gaat niet iets signaleren en dan denken van, het is goed.. In mijn ogen in ieder geval niet.

Al kost het tijd en geld, hier maak je afspraken over tussen beiden partijen. Je betaald de onderzoekers toch niet voor dit soort 'grappen'.

HADES2001 @jmerle • 23 november 2015 12:14

officiele support is afgelopen voor XP maar de regering kan gewoon wat geld neer leggen voor verdere support.
Veel justitie systemen draaien ook nog steeds XP met support.

Verwijderd 23 november 2015 11:49

Natuurlijk... "Volgens de Amerikaanse regering zit Noord-Korea achter de hack."

Iets met WC eend???

HADES2001 @Verwijderd • 23 november 2015 12:17

Dat slaat nergens op WC eend promote zichzelf in het reclamespotje heeft niets te maken met USA die weer eens een vinger wijst naar zijn grote struikelblokken (noord korea en rusland)
daarbij is het nog steeds simpel door de bocht te noemen van USA dat korea er achter zit met de melding "This hack software was previously used by korea, so this must also be them"
Iedereen had die software kunnen overkopen op de zwarte markt dus zonder bewijs kan het nog steeds iedereen zijn

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (16)

Sorteer op:

Weergave: