Gbor és a Slashdot hívta fel rá a figyelmem, hogy Uri Rivner, az EMC biztonsági főnöke egy hosszabb elemzést tett közzé a céget ért incidens részleteiről. Eddig ez az első elfogadható közlemény az EMC részéről, ami bár a legfontosabb kérdést, nevezetesen, hogy mihez fértek hozzá a támadók nem válaszolja meg, de néhány ponton azért világosabbá teszi a történetet.
Mint kiderült, a támadók feltehetően közösségi oldalak adatai alapján választották ki a cég néhány, nem kifejezetten erős jogkörrel rendelkező munkatársát, akiknek célzott adathalász e-maileket küldtek, melyekhez az eset idején még 0-day Excelbe pakolt Flash exploitot mellékelték. Az egyik célpont sajnos vette a fáradtságot, hogy kikukázza a Levélszemét mappába sorolt üzenetet, és megnyissa a mellékletet.
A fájl megnyitásakor egy távoli hozzáférést biztosító Poison Ivy variáns települt az áldozat gépére, ahol elkezdett más felhasználókhoz tartozó belépési információkat gyűjteni. A jogosultságkiterjesztés sikeres volt, a támadók hozzáférést szereztek helyi- és tartományadminisztrátori fiókokhoz is, így képesek voltak hozzáférni bizonyos "kulcs aggregációs" szerverekhez, majd az ezekről nyert adatokat jelszóvédett RAR archívumként feltöltötték, egy külső, előzőleg szintén kompromittált FTP kiszolgálóra.
Ennyi a történet, az okosok erre azt mondják, hogy ez egy tipikus APT támadás, én inkább kérdezek:
Túltéve magunkat azon, hogy az egységjúzerek biztonságtudatossága nagyjából a "pirítsunk kenyeret miközben hajat szárítunk a kádban" filozófiával lenne jellemezhető, miért annyira hatalmas elvárás egy antivírussal (ami nyilván ott figyel minden EMC alkalmazott gépén) szemben, hogy detektáljon egy bárki által letölthető trójait, amihez buzgó szkriptkölykök már tucatnyi használati utasítást is közzé tettek a YouTube-on?
Aztán hogy van az, hogy szegény Rivner úr 2011-ben még fontosnak tartja kiemelni, hogy bizony létezik olyan, hogy reverse connect payload? És mennyit ér a hozzáférésvédelem, ha egy alacsony szintű felhasználóból hirtelen domain adminisztrátort lehet gyártani?
Rivner hangsúlyozza, hogy szemléletváltásra lenne szükség az IT-biztonság területén. Nem tudom, hogy a változások szelét, vagy inkább a közelgő szélütést érzékeljük...
Pas · http://pasthelod.hell-and-heaven.org 2011.04.03. 04:53:33
Taps. És mindezt az RSA Bt.-nél. Golftaps. [ezután simán kirakom az ISO over-9000:Feltörhetetlen táblát még a zoknitartó dobozomra is.]
|Z| 2011.04.03. 12:39:05
39/41(95,1%)
www.virustotal.com/file-scan/report.html?id=3b3597ce1e435a4cc9cd4af973a18eb85264a06b53b0d966479b2309269652bf-1301826306
Gondolom aki kicsit is ért assembly-hez, 2 óra alatt csinál a binárisból 0/41-eset ...
|Z| 2011.04.03. 14:26:44
21/ 41 (51.2%)
www.virustotal.com/file-scan/report.html?id=cf5347ebd23cb8c2239334f724aa51fa2f5a1d9a86c4d72a43c18aa436d07830-1301833336
Tedat 2011.04.04. 10:22:42
Nem lehetetlen, de nehezebb, és a gépet is jobban le lehetett volna korlátozni.
Mondjuk a tűzfal is faszán lehetett beállítva, ha bárhová lehetett fel-FTP-zni onnan...
buherator · http://buhera.blog.hu 2011.04.04. 10:30:06
synapse · http://www.synsecblog.com 2011.04.04. 10:48:52
synapse
csakezértregisztrált 2011.04.06. 19:25:46
|Z| 2011.04.07. 12:42:49