Эксперты компании Fox-IT представили написанный на Python скрипт, позволяющий восстановить записи в журнале событий, удаленные утилитой eventlogedit на скомпрометированных компьютерах. Eventlogedit является частью предполагаемого хакерского инструмента Агентства национальной безопасности (АНБ) США под названием DanderSpritz, который в числе других программ был выложен в открытый доступ кибергруппировкой The Shadow Brockers в минувшем году. Скрипт под названием danderspritz-evtx опубликован на портале GitHub.
На самом деле утилита не удаляет или изменяет записи в журнале, а только совмещает их, делая "удаленную" запись частью предыдущей. По умолчанию, DanderSpritz совмещает одну или две "компрометирующие" записи с "чистым" логом. Таким образом при чтении подделанного файла Журнал событий прочитает чистую запись, увидит конечный тег и проигнорирует весь "плохой" контент, пояснили исследователи. Этот ловкий трюк позволяет злоумышленникам скрыть свои действия на скомпрометированных устройствах.
По словам специалистов, разработанный ими скрипт позволит другим исследователям восстановить оригинальные записи и отследить "отпечатки" злоумышленников.
DanderSpritz представляет собой фреймворк, включающий ряд других утилит помимо возможности очистки журналов. Как правило, АНБ использует его совместно с другим фреймворком – FuzzBunch, предназначенным для загрузки и исполнения эксплоитов на целевых компьютерах.
"Представьте, что это государственная версия Metasploit Meterpreter, но с функцией автоматического обнаружения антивирусов и массой (ранее) не обнаруживаемых инструментов для извлечения паролей, сбора информации и продвижения по системе", - рассказал эксперт Kudelski Security Франсиско Донозо (Francisco Donoso).