Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fox-IT maakt herstel verwijderde NSA-logs mogelijk

Fox-IT is erin geslaagd een tool te ontwikkelen die kan detecteren of de NSA zijn sporen heeft proberen te wissen op een systeem. De tool kan de inhoud van de Windows Event Logs die de inlichtingendienst heeft verwijderd, weer herstellen.

Fox-IT heeft de danderspritz-evtx-tool via Github beschikbaar gemaakt en roept beheerders op om back-ups met eventlogbestanden van Windows-servers en andere -systemen met het script te analyseren, om te achterhalen of de NSA op de systemen aanwezig is geweest. Het beveiligingsbedrijf kon de tool ontwikkelen na een analyse van het DanderSpritz-framework van de NSA. The Shadow Brokers publiceerden DanderSpritz 14 april, als onderdeel van hun Lost in Translation-publicatie.

DanderSpritz is een beheerframework voor binnengedrongen systemen, waarmee aanvallers beveiligingstools kunnen omzeilen, data aan de systemen kunnen onttrekken en netwerken in kaart kunnen brengen. Onderdeel is eventlogedit, een plugin voor DanderSpritz om Windows Event Logs te verwijderen en zo geen sporen achter te laten die inzage kunnen bieden in het doel van het bezoek van de Amerikaanse inlichtingendienst.

Fox-IT ontdekte dat eventlogedit de opgeslagen informatie van de logs niet daadwerkelijk aanpast of verwijdert, maar alleen de referenties ernaar ongedaan maakt. Dit gebeurt door de header van de opgeslagen informatie te manipuleren en de omvang aan de voorgaande record toe te voegen. Eventlogedit past vervolgens overige sporen aan die op het bestaan van de record kunnen wijzen. De tool past bijvoorbeeld de nummering van event-id's aan en berekent opnieuw de checksums.

De forensische tools die beveiligingsbedrijven normaliter gebruiken, detecteerden niet dat de event-logs met deze truc onzichtbaar gemaakt werden en bij eerdere analyses van DanderSpritz gingen die bedrijven er wellicht van uit dat de logs daadwerkelijk verwijderd waren. Waarom de NSA de logs niet daadwerkelijk volledig opruimde, is niet bekend.

Omdat de NSA-tool de logs inclusief header niet daadwerkelijk verwijdert, zijn deze volledig terug te halen, constateerde Fox-IT. Het Forensics & Incident Response-team van het bedrijf ontwikkelde een Python-script die op zoek gaat naar de verborgen event-logs en deze herstelt. Vervolgens maakte het bedrijf een uitvoerbaar bestand, dat het als opensourcetool beschikbaar heeft gemaakt.

"Het analyseren van herstelde event records, die verwijderd waren door een aanvaller, geeft formidabel inzicht in wat een aanvaller wilde verbergen en wat hij wilde bereiken", meldt Wouter Jansen van Fox-IT. Overigens is het waarschijnlijk dat de NSA zijn werkwijze inmiddels heeft aangepast en alleen logs uit het verleden te achterhalen zijn met de tool.

Door

NieuwscoŲrdinator

36 Linkedin Google+

Reacties (36)

Wijzig sortering
De grap is echter dat mocht dit het geval zijn, dat je niet perse de conclusie kan trekken dat dit de NSA is geweest. Wie weet wie er allemaal toegang had tot deze tool en/of werkwijze om de logs ongedaan te maken.

In de originele bron staat het ook beter ;)

To detect if the NSA or someone else has used this to cover up his tracks using the eventlogedit tool on your systems, it is recommended to use the script on event log files from your Windows servers and computers.
Wellicht off-topic, maar hoe kan het zo zijn dat burgers niet eens een open wifi mogen hebben. Of erger nog, dat er van digibeten wordt verwacht dat ze hun wifi beschermen EN als dat niet lukt, alsnog aansprakelijk zijn.
Terwijl een organisatie als deze tools ontwikkeld. Ze gestolen worden. En dan bij de volgende inbraak in plaats van "Hey organisatie, zijn jullie hier niet verantwoordelijk voor" dat we ons afvragen "ja het hoeven ze niet geweest zijn, want ze zijn berooft geweest"

Waarom is het dat de burger zich moet verdedigen en zo'n organisatie bij aanvang al onschuldig is/word bevonden, door DIEZELFDE burger?
Omdat deze organisatie machtiger is dan burgers. Een burger is slechts 1 individu met zo goed als geen invloed. Bijna ongelimiteerd budget, ondersteund door 'fear mongering' (we moeten budget hebben want terrorisme/buitenlandse invloed/kinderporno whatever) helpt ook wel mee.

Je hoeft daar overigens niet zo ver weg voor te gaan. Kijk naar Den Haag. Er is een crisis, er worden allerlei crisismaatregelen genomen om, eigenlijk maar meer geld binnen te halen voor de overheid. Crisis is voorbij en dezelfde regels worden nooit meer teruggedraaid. Het volk vormt geen front want in Den Haag hanteert men het 'verdeel en heers' principe. Jongeren, werklozen, baby boomers.. Iedereen krijgt maar de schuld van het niet snel uit de crisis komen. Gevolg: groepen tegen elkaar uitspelen zorgt niet voor saamhorigheid waardoor het alsnog individuen zijn zonder invloed op het politieke proces.

[Reactie gewijzigd door xxxneoxxx op 8 december 2017 20:53]

Het zorgt wel voor saamhorigheid rondom de volgende gekozen oplosser.
Dat het een spel is van verdelen om gekozen te worden als oplosser ontgaat velen.
Weinig zo handig of handiger als een gedeelde vijand.

Dat ligt aan de kern van "populisme" maar ook de boegbeelden van stereotype partijen. Misbruik maken van begrip in stereotypering en oppervlakkigheid (diepteloosheid, verdeeldheid) van de samenleving.

Iemand met een beetje basaal verstand van "politiek" voering en populairste klassenleiders kinda typetjes dat zijn vaak de karakterloze succesvolle uitbuiters van de toekomst en worden vaak opgehemeld voor hun geschiktheid in de politiek en bedrijfsvoering omdat ze als de beste stereotypes kunnen misbruiken ek toepassen. Schaamteloze bluffende leugenaars die hopen dat hun slachtoffers en ondergeschikten het collectief draaiende houden.
Totaal onhoudbaar natuurlijk maar vooral vingertjes wijzen want de schuld bij anderen neerleggen is het makkelijkst en zo 'lossen we dat wel ff op', makkelijk baantje, anderen het werk laten doen.

Geen wonder dat zulke 'leiders' tot dergelijk ziekelijke manipulatieve controledrang gemotiveerd machtsmisbruik neigen om niet zelf door de mand te vallen maar het is allemaal een onheilige grote leugen van valse haalbaarheid en houdbaarheid.

Bovendien staat het op een hoge troon van afstandelijkheid... Een zelfverhevenheid en een simplistische/praktische benadering van het hele volk onder hen zelf. En wanneer je mensen niet persoonlijk en waardevol benaderd maar als een abstract gegeven, dan is het een kwestie van tijd dat elk gevoel van respect en verbondenheid verdwijnt want wat zijn ze toch laag, manipuleerbaar en nuttig om zelf hoog te blijven.

Het beste voorbeeld was de nederigste... Diegenen die hoogte toevoegen zijn blinden die blinden leiden. Diegenen die er in trappen zijn afgeleid, verdeeld en misleid.
"Politiek" voering in een notendop.

En als dat nog niet genoeg is dan kijk naar bedrijfsvoering.
Verdeling, stereotypering en metafoor is niet alleen common maar het garandeerd 'succes'.
Het oudste bewijs van stereotypering en onderverdeling zie je bijvoorbeeld in oud materiaal als in de Aesop's Fables door gebruik van dieren om karakters uit te beelden maar ook moderne games en televisie, reclame, etc. zijn er van doortrokken.
Sommige contentspuwers, zelfbenoemde 'creators', worden zelfs aangehangen alsof ze diepgeÔnspireerd en groots zijn.
Van Mijnheer de Uil tot Teen Titans Go, World of Warcraft, Guild Wars en stereotypegedrag aangespoord in reclame waarbij de kopers zelfs steeds vaker door comedy 'subtiel' in de zeik genomen worden. Het is triest gesteld met onze samenleving en onze 'leiders'. Statisch en logisch slimme vormen die de naieve massa aanspreekt.
Stuk voor stuk slachtoffers van de leugens tot snelle winst en amusement zonder echt nuttig doel en olie op vuur.

Zet die Mozaiek prisma bril eens af. Zeker als je hem misbruiken wilt. Blaren zitten blijft niet uit hoe 'rijk' je er ook van wordt en je wordt er harder en eigenwijs van, maar de eindbestemming is dezelfde. Iemand met ogen en oren wordt nederig aan de wet in plaats van hem voor eigen gewin aan te wenden en grenzen/uitersten op te zoeken. Pure blasfemie en sacreligie is het namelijk om mensen in een verdraaide onvolkomen verhaalvertelling en uitersten te vangen. De NPO is daar ook heer en meester in.
Fijn die vakjes en hokjes, putjes en potjes, om zelf in het schaakspel te blijven.

Denk bovendien niet dat je uniek bent, bepaalde lezer, een of ander trots/speels wolfje, ook jij arend en wijze uil, want er zijn nederige mensen met een helderder licht en zicht en het is een kwestie van tijd tot bergen verzet en geflatteerd worden omdat ze het daglicht niet verdragen. Daar komt geen geweld aan tepas maar ťťn Woord en deze maakt een einde aan het geweld waar valse heersers de medemens al duizenden jaren aan bloot stellen en niemand zal er omheen kunnen dat dergelijk misbeleid, misleid. Stuiptrekken met woedeuitbarstingen en knarsentanden zullen ze ongetwijfeld in hun verlies. Wie treft blaam?
Diegenen die kenden, wisten en toch deden.
Voer een verstandig beleid, niet om jezelf, niet via of om een gedrocht van een stelsel, meerkoppig schijnbaar onverslaanbaar beest, maar elkaar.

[Reactie gewijzigd door 936443 op 9 december 2017 20:50]

Omdat we gelukkig in een samenleving zitten waar je niet domweg schuldig bent tenzij bewezen. Net zoals jij net zo goed een winterjas aan kan hebben en niet 10 jaar in de cel gaat omdat er toevallig 10x achter elkaar iemand een winkel met die winterjas heeft overvallen.

Het voordeel is dat 'diezelfde' burger wel kan uiten van "nou, laten we even reŽel zijn; dat was de NSA". Een onafhankelijk nieuwsbureau moet feiten weerleggen, geen aannames doen zonder bewijs en/of harde argumentatie.

De enige reden dat ik iets zeg is om het artikel van Tweakers te 'corrigeren'. Dit om elke lezer de echte feiten te geven. Dat een lezer zelf een conclusie trekt of een mening daarop heeft is helemaal prima. Zolang iemand maar niet gestuurd wordt in het krijgen van die mening vanuit een artikel.

Het is net zo goed te weerleggen dat een bepaalde exploit, bug, etc, al jaren bekend is in de 'onderwereld'. De NSA is wel 'goed' in dingen maar ik ben toch wel van mening dat menig tool/exploit gebaseerd is op derden. Dit uiteindelijk in een wat professioneler jasje gestopt en bruikbaar gemaakt voor een organisatie.

Dit is net zo'n logische verklaring waar je alleen op komt als een artikel alleen met feiten komt zodat je er zelf over na kan denken. Of... dat je een bewezen onderzoeksjournalist hebt die een x-aantal zaken heeft uitgezocht, onderbouwd, etc en vervolgens zijn/haar mening deelt waarin die aangeeft dat het wel de NSA moest zijn. Met alle respect naar Olaf van Miltenburg, is hij niet zo'n persoon.
Na de publicatie van DanderSpritz op 14 april snap ik dat je niet perse de conclusie kan trekken dat dit de NSA is geweest. Maar als het het geval is in logs van 14 april dan is het toch zeer aannemelijk de NSA geweest? Of zal de NSA deze tool ook aan andere veiligheidsdiensten beschikbaar hebben gesteld?
Of wie weet heeft de NSA deze techniek/kennis gekocht op de zwarte markt en is daarmee deze werkwijze niet persť/enkel karakteristiek voor de NSA..

We kunnen dagen speculeren, maar het is zeer onwaarschijnlijk dat we ooit een antwoord gaan vinden.
De NSA hoeft de tool niet aan anderen beschikbaar te hebben gesteld. Anderen kunnen ook een dergelijke tool ontwikkeld hebben. Er zal vast een reden zijn waarom de records niet daadwerkelijk verwijderd zijn (ik vermoed dat het daadwerkelijk verwijderen detectie dat er iets mis is op het systeem, makkelijker maakt) en anderen kunnen die conclusie ook getrokken hebben. Daardoor zou de tool van anderen hetzelfde gedrag vertonen als die van de NSA.

Dus ondanks dat een tool van de NSA bekend is die dit doet, sluit dat niet uit dat anderen hetzelfde doen, onafhankelijk van de NSA.

[Reactie gewijzigd door Crazy Harry op 8 december 2017 17:27]

Wat ik mij vervolgens afvraag.
Als bedrijf zijnde gebruik je toch een centrale log server, juist om het verwijderen van logs na een hack tegen te gaan.

Overigens, netjes van Fox-it dat ze dit hebben vrij gegeven.

[Reactie gewijzigd door wica op 8 december 2017 17:01]

Ik denk dat er bij kleine en middelgrote bedrijven genoeg servers draaien die helemaal niet loggen naar een centrale syslog server. Misschien vindt men het niet de moeite, of het ontbreekt aan kennis bij de beheerder.

Of deze bedrijven interessant genoeg zijn voor de NSA om door hen gehackt te worden is dan weer een heel andere vraag.
In de huidige wereld zijn er meer en meer bedrijven die alle logs op een Syslog server verzamelen en hier correlaties proberen te vinden.
NTT security en andere security bedrijven bieden hier zelfs diensten voor aan. Vaak wordt er Splunk ingezet voor een eerste shift daarna speciale tools om meer informatie uit de logs te halen.
Klopt, eerst met forwarding alle windows eventlogs verzamelen, en dan door Splunk op laten pikken, andere servers zoals Linux, devices etc. naar splunk laten sysloggen. Laat de NSA en consorten die eventlogs maar wissen ;-)

In Splunk zelf kun je fantastisch correlaties doen, sommige van mijn collega's zijn daar echte experts in. En dan een SIEM naar Splunk laten kijken om de opvallende dingen er uit te pikken. En ohja... wel zo fijn als je zorgt dat je NTP overal goed is ingericht, zodat je zeker weet dat je tijd overal op de seconde klopt. Overigens kunje veel meer dan alleen maar uitzoeken 'waar de hackers zijn' Splunk is juist door die correlatie (firewalls anyone?) een geweldige tool om issues mee uit te zoeken.

Maar goed, laten we eerlijk wezen; er zijn op dit moment nog niet zoveel bedrijven die de budgetten hebben om dit soort zaken goed voor elkaar te hebben (en de mensen). En ergens kan ik me dat ook wel voorstellen, niet elk bedrijf heeft dit soort beveiligings maatregelen als prioriteit op zijn lijstje staan. Ze zijn vaak al blij als alles goed blijft werken ;-)

[Reactie gewijzigd door Frost_Azimov op 9 december 2017 00:55]

Zouden ze het niet verwijderen maar aanpassen omdat misschien lichter of sneller was? Je wilt namelijk niet dat het systeem hangt bij het opschonen en zo snel mogelijk is gedaan.
Mogelijks wil je het niet verwijderen om te voorkomen dat analysetools gaan opmerken dat er events ontbreken, dat de log onverwacht kleiner is geworden.
Lijkt mij ook het meest waarschijnlijke... Anders moet je gaan knoeien met andere logs als je het wilt verbergen, en dat gaat zeker opvallen.
Een paar regels tekst verwijderen zou niet zo lang moeten duren. Windows logs worden vrij simpel opgeslagen.
Het is iets complexer dan dat. Je kan niet even een regel/record weg gooien. Bestanden zijn namelijk gelocked. Enige Methode is wissen van eventlog en dat zou opvallen.

Kortom, door records aan te passen op basis van vermeende lengte en inhoud en met pointers te spelen kan je een gelocked bestand dus manipuleren zonder moeilijke acties uit te hen welke alarmen kunnen triggeren of zelfs systemen kunnen laten crashen.
Fox IT, een leverancier van de AIVD (IIRC) brengt een tool uit die NSA tools kan detecteren?

Beetje dubbel, of niet?
FOX-IT is een commercieel bedrijf wat meer doet dan alleen maar zaken beheren voor de overheid. Daarnaast zit er ook een stuk MVO in het bedrijf. Afgelopen week was er een interview met Ronald Prins op BNR waarin dit ook nog benadrukt werd. Niet alle bedrijven hebben altijd verkeerde bedoelingen.

Daarnaast is het ook nog een stukje reclame natuurllijk ;)
Je moet de focus altijd verleggen om zelf uit het vizier te blijven ;)
nog een stapje erger. Fox-IT is nu een Brits bedrijf die nog diepgaande relaties heeft met oa Defensie, AIVD, etc. Ze onderhouden vlgs mij ook (custom) OpenVPN clients voor onze overheid.
En dus met je een remote logging systeem hebben, wat realtime logs vergaart, zo kun je de integriteit van je logging behouden, tezamen met gedegen audit logging.
Nu is het vaak "er is geen logging, dus er is niks gebeurd"
Volgens mij was het in de Era van Windows 2000 al mogelijk (als ik me niet vergis) om een bestand in een bestand te maken. Hoe dat ging was dat ik met een command prompt edittor een bestand test.txt aanmaakte. Daar sloeg ik iets in op, en vervolgens maakte ik er opnieuw een wijziging aan, om deze als test.txt:test2.txt op te slaan. Het OS ziet hier alleen test.txt staan maar middels m'n eigen verwijzing, kon ik 'geheime' info in het fysieke bestand test.txt:test2.txt opslaan.

Volgens mij werkt de NSA op een dezelfde manier. Het was niet echt een exploit maar eerder een hele domme flaw van Windows. Technisch gezien kon je dus ook in een foto nog een foto stoppen die je op een aparte manier kon openen zonder dat je deze op het eerste oog met je image viewer kon zien.
Dat zijn de zogeheten streams die er al vanaf NT3.1 inzitten. Geen flaw; by design. Heeft overigens ook niets met de hier gebruikte techniek te maken
Dan zal de NSA dit weer snel aanpassen waarschijnlijk.
Dit zal de NSa waarschijnlijk snel de kop gaan kosten. Wacht maar totdat bedrijven gezamelijk een zaak gaan starten.
Een soort recuva maar dan anders :)
Is dit te classificeren als "log undeleter V5"
uit "uplink"? :+
Eigenlijk moet iedereen de film Snowden zien

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*