Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

RSA/EMC incidens részletek

2011.04.02. 22:00 | buherator | 8 komment

Gbor és a Slashdot hívta fel rá a figyelmem, hogy Uri Rivner, az EMC biztonsági főnöke egy hosszabb elemzést tett közzé a céget ért incidens részleteiről. Eddig ez az első elfogadható közlemény az EMC részéről, ami bár a legfontosabb kérdést, nevezetesen, hogy mihez fértek hozzá a támadók nem válaszolja meg, de néhány ponton azért világosabbá teszi a történetet. 

Mint kiderült, a támadók feltehetően közösségi oldalak adatai alapján választották ki a cég néhány, nem kifejezetten erős jogkörrel rendelkező munkatársát, akiknek célzott adathalász e-maileket küldtek, melyekhez az eset idején még 0-day Excelbe pakolt Flash exploitot mellékelték. Az egyik célpont sajnos vette a fáradtságot, hogy kikukázza a Levélszemét mappába sorolt üzenetet, és megnyissa a mellékletet. 

A fájl megnyitásakor egy távoli hozzáférést biztosító Poison Ivy variáns települt az áldozat gépére, ahol elkezdett más felhasználókhoz tartozó belépési információkat gyűjteni. A jogosultságkiterjesztés sikeres volt, a támadók hozzáférést szereztek helyi- és tartományadminisztrátori fiókokhoz is, így képesek voltak hozzáférni bizonyos "kulcs aggregációs" szerverekhez, majd az ezekről nyert adatokat jelszóvédett RAR archívumként feltöltötték, egy külső, előzőleg szintén kompromittált FTP kiszolgálóra.

Ennyi a történet, az okosok erre azt mondják, hogy ez egy tipikus APT támadás, én inkább kérdezek:

Túltéve magunkat azon, hogy az egységjúzerek biztonságtudatossága nagyjából a "pirítsunk kenyeret miközben hajat szárítunk a kádban" filozófiával lenne jellemezhető, miért annyira hatalmas elvárás egy antivírussal (ami nyilván ott figyel minden EMC alkalmazott gépén) szemben, hogy detektáljon egy bárki által letölthető trójait, amihez buzgó szkriptkölykök már tucatnyi használati utasítást is közzé tettek a YouTube-on?

Aztán hogy van az, hogy szegény Rivner úr 2011-ben még fontosnak tartja kiemelni, hogy bizony létezik olyan, hogy reverse connect payload? És mennyit ér a hozzáférésvédelem, ha egy alacsony szintű felhasználóból hirtelen domain adminisztrátort lehet gyártani?

Rivner hangsúlyozza, hogy szemléletváltásra lenne szükség az IT-biztonság területén. Nem tudom, hogy a változások szelét, vagy inkább a közelgő szélütést érzékeljük...

Címkék: incidens apt rsa emc

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Pas · http://pasthelod.hell-and-heaven.org 2011.04.03. 04:53:33

> ha egy alacsony szintű felhasználóból hirtelen domain adminisztrátort lehet gyártani?

Taps. És mindezt az RSA Bt.-nél. Golftaps. [ezután simán kirakom az ISO over-9000:Feltörhetetlen táblát még a zoknitartó dobozomra is.]

|Z| 2011.04.03. 12:39:05

Az eredeti Poison Ivy virustotal detektálási rátája:
39/41(95,1%)

www.virustotal.com/file-scan/report.html?id=3b3597ce1e435a4cc9cd4af973a18eb85264a06b53b0d966479b2309269652bf-1301826306

Gondolom aki kicsit is ért assembly-hez, 2 óra alatt csinál a binárisból 0/41-eset ...

|Z| 2011.04.03. 14:26:44

Lássuk csak, 2006-os download and click technológiát (execryptor) alkalmazva:

21/ 41 (51.2%)

www.virustotal.com/file-scan/report.html?id=cf5347ebd23cb8c2239334f724aa51fa2f5a1d9a86c4d72a43c18aa436d07830-1301833336

Tedat 2011.04.04. 10:22:42

Ha Linuxot használt volna az illető, és nem Windowst és Excelt, akkor talán nehezebb lett volna a támadó dolga.

Nem lehetetlen, de nehezebb, és a gépet is jobban le lehetett volna korlátozni.

Mondjuk a tűzfal is faszán lehetett beállítva, ha bárhová lehetett fel-FTP-zni onnan...

buherator · http://buhera.blog.hu 2011.04.04. 10:30:06

@Tedat: ez egy évezreddel odébb még lehet hogy így működött :P

synapse · http://www.synsecblog.com 2011.04.04. 10:48:52

@|Z|: Nem kell ehhez assembler tudas, cask minden stringet meg kell keverni a binarisban, vagy replace-elni XXXX-re. Kisebb jutiloknal rohadtjol mukodik, viva la pattern matching ;D

synapse

|Z| 2011.04.07. 12:42:49

@synapse: azt a trükköt próbáltam a hétvégén, de sajna most nem jött be :)