網(wǎng)絡(luò)安全公司Fox-IT上周發(fā)布了一個(gè)Python腳本“danderspritz-evtx”，可恢復(fù)被NSA黑客工具DanderSpritz刪除的事件日志條目。

DanderSpritz 是“影子經(jīng)紀(jì)人”（Shadow Brokers）公開(kāi)的NSA遠(yuǎn)控工具，該工具基于FuzzBunch框架設(shè)計(jì)，可以清除事件日志。

NSA通常將DanderSpritz與FuzzBunch一起使用。NSA黑客使用FuzzBunch在目標(biāo)電腦上加載并運(yùn)行漏洞利用，之后部署DanderSpritz查找并提取敏感數(shù)據(jù)，向附近的電腦傳播，并清除攻擊痕跡。

Kudelski Security今年5月曾寫(xiě)道， 可以將DanderSpritz想象成國(guó)家版的Metasploit Meterpreter，但前者還帶有自動(dòng)化反病毒檢測(cè)和規(guī)避功能，以及大量先前無(wú)法檢測(cè)到的工具，可用于轉(zhuǎn)儲(chǔ)密碼、收集信息、保持持久性并橫向移動(dòng)。

DanderSpritz包含Eventlogedit插件，能操縱Windows的事件日志文件幫助攻擊者隱藏行蹤。

Fox-IT表示，研究人員在Eventlogedit插件中發(fā)現(xiàn)一個(gè)漏洞，即Eventlogedit實(shí)際上并未刪除事件日志條目，而只是未加以引用，將其合并。按照研究人員的解釋?zhuān)褂肊ventlogedit時(shí)，將被刪除的日志記錄本身未被編輯或刪除，只不過(guò)未被引用。它通過(guò)操縱之前記錄的記錄頭來(lái)實(shí)現(xiàn)。

Eventlogedit將欲被刪除記錄的大小加入之前記錄的大小中，從而合并這兩條記錄。包括記錄頭在內(nèi)的被刪記錄目前僅被認(rèn)為是此前記錄的多余數(shù)據(jù)。日志查看器不會(huì)顯示這種多余數(shù)據(jù)或垃圾數(shù)據(jù)。

DanderSpritz會(huì)默認(rèn)將一個(gè)或多個(gè)“篡改”日志條目與之前的清潔日志條目合并。當(dāng)Windows事件日志應(yīng)用程序讀取經(jīng)過(guò)篡改過(guò)的日志文件時(shí)，它會(huì)讀取清潔版本，查看結(jié)束標(biāo)簽，并忽略未引用“不良”事件的所有內(nèi)容。

這種技倆允許攻擊者隱藏惡意行蹤。借助Fox-IT開(kāi)發(fā)的danderspritz-evtx腳本，調(diào)查人員可以重建原始日志文件，追蹤攻擊者的活動(dòng)。

由于DanderSpritz已被泄露超過(guò)半年，這就意味著除了NSA黑客，其它網(wǎng)絡(luò)犯罪組織和惡意攻擊者可能已經(jīng)將這種技術(shù)整合在自己的工具之中。

此腳本是調(diào)查被入侵設(shè)備的必需工具，用戶(hù)可在GitHub上獲取，地址請(qǐng)戳！