Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A suszter cipője

2011.08.26. 19:52 | buherator | 1 komment

Timo Hirvoven, az F-Secure munkatársa több hónapos kutatás után kibányászta a cég mintaállományai közül a hírhedt "2011 Recruitment Plan.xls" állományt, amely az RSA rendszereibe történő behatoláshoz használt eredeti exploitot tartalmazta.

A fájl egy Outlook üzenetbe ágyazva került elő, így az is kiderült, hogy kinek és hogyan juttaták el a támadó kódot. A levelet március 3-án küldték el összesen négy címzettnek egy látszólag a beyond.com álláskereső portálhoz tartozó címről. Az e-mail tartalma nagyjából annyi volt, hogy "Át kellene nézni ezt a fájlt. Kérlek nyisd meg". A melléklet megnyitásakor mindössze az Excel táblába beágyazódó Flash objektum kis X-e látszódott, a háttérben azonban egy akkor még 0day Flash exploit futott le, ami egy Poison Ivy variánst telepített, ami a good.mincesur.com címre csatlakozott vissza. Külön érdekesség, hogy a rosszindulatú XLS-t március 19-én valaki feltöltötte a VirusTotal-ra, így a biztonsági cégek nyilván belefutottak már korábban, csak nem tudták, milyen különleges jelentőségű fájlról is van szó.

Érdemes kiemelni néhány dolgot a történtekkel kapcsolatban:

  • Négyből egy dolgozó lefuttatta a malware-t
  • Az RSA biztonsági rendszerei nem szúrtak ki egy bármelyik script kiddie által letölthető és használható trójait, ami aztán hosszú ideig működhetett a hálózaton
  • A használt víruskergetők nem találták furcsának, hogy valaki Flash-t ágyaz egy Excel fájlba

Ezek után már az sem okoz nagy meglepetést, ha magán az F-Secure termékein keresztül lehet drive-by-download támadásokat indítani.

Bocs a ritka posztokért, hekk in progress ;)

Címkék: flash bug incidens malware excel f secure rsa spear phishing

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kz71 2011.08.27. 14:38:49

Goldenblog --> HEKK, de tkp. Aranypart, nem? ;-)