Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fox-IT maakt herstel verwijderde NSA-logs mogelijk

Fox-IT is erin geslaagd een tool te ontwikkelen die kan detecteren of de NSA zijn sporen heeft proberen te wissen op een systeem. De tool kan de inhoud van de Windows Event Logs die de inlichtingendienst heeft verwijderd, weer herstellen.

Fox-IT heeft de danderspritz-evtx-tool via Github beschikbaar gemaakt en roept beheerders op om back-ups met eventlogbestanden van Windows-servers en andere -systemen met het script te analyseren, om te achterhalen of de NSA op de systemen aanwezig is geweest. Het beveiligingsbedrijf kon de tool ontwikkelen na een analyse van het DanderSpritz-framework van de NSA. The Shadow Brokers publiceerden DanderSpritz 14 april, als onderdeel van hun Lost in Translation-publicatie.

DanderSpritz is een beheerframework voor binnengedrongen systemen, waarmee aanvallers beveiligingstools kunnen omzeilen, data aan de systemen kunnen onttrekken en netwerken in kaart kunnen brengen. Onderdeel is eventlogedit, een plugin voor DanderSpritz om Windows Event Logs te verwijderen en zo geen sporen achter te laten die inzage kunnen bieden in het doel van het bezoek van de Amerikaanse inlichtingendienst.

Fox-IT ontdekte dat eventlogedit de opgeslagen informatie van de logs niet daadwerkelijk aanpast of verwijdert, maar alleen de referenties ernaar ongedaan maakt. Dit gebeurt door de header van de opgeslagen informatie te manipuleren en de omvang aan de voorgaande record toe te voegen. Eventlogedit past vervolgens overige sporen aan die op het bestaan van de record kunnen wijzen. De tool past bijvoorbeeld de nummering van event-id's aan en berekent opnieuw de checksums.

De forensische tools die beveiligingsbedrijven normaliter gebruiken, detecteerden niet dat de event-logs met deze truc onzichtbaar gemaakt werden en bij eerdere analyses van DanderSpritz gingen die bedrijven er wellicht van uit dat de logs daadwerkelijk verwijderd waren. Waarom de NSA de logs niet daadwerkelijk volledig opruimde, is niet bekend.

Omdat de NSA-tool de logs inclusief header niet daadwerkelijk verwijdert, zijn deze volledig terug te halen, constateerde Fox-IT. Het Forensics & Incident Response-team van het bedrijf ontwikkelde een Python-script die op zoek gaat naar de verborgen event-logs en deze herstelt. Vervolgens maakte het bedrijf een uitvoerbaar bestand, dat het als opensourcetool beschikbaar heeft gemaakt.

"Het analyseren van herstelde event records, die verwijderd waren door een aanvaller, geeft formidabel inzicht in wat een aanvaller wilde verbergen en wat hij wilde bereiken", meldt Wouter Jansen van Fox-IT. Overigens is het waarschijnlijk dat de NSA zijn werkwijze inmiddels heeft aangepast en alleen logs uit het verleden te achterhalen zijn met de tool.

Door Olaf van Miltenburg

Nieuwscoördinator

08-12-2017 • 16:25

36 Linkedin Google+

Reacties (36)

Wijzig sortering

Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True