Anatomie der Zielverletzung: Verpasste Chancen und Erfahrungen

Targets infame Datenverletzung geschah vor gut einem Jahr. Sind wir klüger? Haben Sie gelernt? Obwohl nicht jedes Detail veröffentlicht worden ist, haben Experten eine inoffizielle Angriffszeitachse entwickelt, die kritische Verbindungspunkte im Angriff aussetzt und einige Punkte hervorhebt, an denen sie gestoppt werden könnte.

Der Angriff begann am 27. November 2013. Zielpersonal entdeckte die Verletzung und informierte das US-Justizministerium bis zum 13. Dezember. Am 15. Dezember hatte Target ein Drittanbieter-Team und der Angriff wurde abgeschwächt. Am 18. Dezember brach Sicherheit Blogger Brian Krebs die Geschichte in diesem Post. “Nationwide Retail Riese Target untersucht eine Datenverletzung potentiell mit Millionen von Kunden Kredit-und Debitkarte Datensätze”, sagte Krebs. “Die Quellen sagten, dass der Bruch auf oder um Black Friday 2013 begonnen zu haben scheint – bei weitem der geschäftigste Shopping-Tag des Jahres.

Dann wurde es interessant. Target informierte über 110 Millionen Kredit- / Debitkarten-Shopper, die während des Angriffs in einem der Läden des Unternehmens kauften, dass ihre persönlichen und finanziellen Informationen kompromittiert worden waren. Um das in der Perspektive, die Angreifer pilfered 11 Gigabyte Daten.

Betrachten wir nun die Reihenfolge der Ereignisse, die die Datenverletzung ausgelöst haben. Hätte einer dieser Schritte bemerkt und konterte, wäre der Angriff wahrscheinlich auseinander gefallen.

1. Voruntersuchung Wir wissen nicht genau, ob oder wie die Angreifer vor dem Angriff Aufklärung über das Zielnetzwerk durchgeführt haben, aber es hätte nicht viel mehr als eine einfache Internetsuche benötigt.

Teri Radichel erklärt in dieser GIAC (GSEC) -Dissertation, wie die Angreifer Informationen über die Infrastruktur von Target erhalten konnten. “Aufklärung über eine detaillierte Fallstudie auf der Microsoft-Website, die beschreibt, wie Target die Microsoft-Virtualisierungssoftware, die zentrale Namensauflösung und Microsoft System Center Configuration Manager verwendet, um Sicherheits-Patches und System-Updates bereitzustellen”, schreibt Radichel. “Die Fallstudie beschreibt auch die technische Infrastruktur von Target, einschließlich POS-Systeminformationen.

Das Internet bietet zusätzliche Hinweise. “Eine einfache Google-Suche verwandelt Targets Supplier Portal, das eine Fülle von Informationen für neue und bestehende Anbieter und Lieferanten enthält, wie man mit dem Unternehmen interagieren, Rechnungen einreichen usw.”, fügt Krebs in diesem Blog-Post hinzu. Nachdem Bohrungen unten, Krebs gefunden eine Seite Auflistung HVAC und Kälte-Unternehmen.

2. Kompromiss von Drittanbietern Die Angreifer unterstützten ihren Weg in das Unternehmensnetzwerk von Target, indem sie einen Drittanbieter beeinträchtigten. Die Anzahl der Anbieter ist nicht bekannt. Allerdings dauerte es nur eine. Das geschah, Fazio Mechanical, ein Kälte-Auftragnehmer sein.

Verbessertes Monitoring und Protokollieren der Systemaktivität, installierte Software-POS-Systeme und implementierte POS-Management-Tools Verbesserte Firewall-Regeln und -Richtlinien Eingeschränkter oder deaktivierter Vendor-Zugriff auf ihr Netzwerk Deaktivierte, zurückgesetzte oder reduzierte Berechtigungen auf über 445.000 Zielpersonal- und Vertragskonten Erweiterung der Verwendung von Zwei-Faktor-Authentifizierung und Passwort Vaults, trainierte Personen auf Passwort-Rotation

Eine Phishing-E-Mail täuschte mindestens einen Fazio-Mitarbeiter, sodass Citadel, eine Variante des Zeus-Banking-Trojaners, auf Fazio-Computern installiert werden konnte. Mit Citadel an Ort und Stelle warteten die Angreifer, bis die Malware bot, was sie suchten – die Anmeldeinformationen von Fazio Mechanical.

Zum Zeitpunkt des Bruchs haben alle großen Versionen von Unternehmen Anti-Malware die Citadel Malware erkannt. Unbegründete Quellen erwähnt Fazio verwendet die kostenlose Version von Malwarebytes Anti-Malware, die keine Echtzeit-Schutz bietet ein On-Demand-Scanner. (Anmerkung: Malwarebytes Anti-Malware wird von Experten bei der richtigen Verwendung hoch angesehen.)

Chris Poulin, ein Forschungs-Stratege für IBM, in diesem Papier bietet einige Vorschläge. Ziel sollte verlangen, dass Anbieter, die auf ihre Systeme zugreifen, entsprechende Anti-Malware-Software verwenden. Poulin fügt hinzu. “Oder zumindest Mandat zwei-Faktor-Authentifizierung für Auftragnehmer, die internen Zugriff auf sensible Informationen haben.”

3. Nutzung des Target-Lieferantenportalzugangs Wahrscheinlich hat Citadel auch Anmeldeinformationen für die von Fazio Mechanical verwendeten Portale abgerufen. Mit dem in der Hand, die Angreifer zu arbeiten, herauszufinden, welches Portal zu untergraben und als Staging-Punkt in Targets internes Netzwerk zu arbeiten. Ziel ist nicht offiziell gesagt, welches System der Einstiegspunkt war, aber Ariba Portal war ein primärer Kandidat.

Sicherheit, das Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog, Sicherheit, Chrome, um Etikettierung von HTTP-Verbindungen als nicht sicher, Sicherheit, das Hyperledger-Projekt wächst wie gangbusters

Brian Krebs interviewte ein ehemaliges Mitglied des Sicherheitsteams von Target bezüglich des Ariba-Portals: “Die meisten, wenn nicht sogar alle internen Anwendungen bei Target verwendeten AD-Anmeldeinformationen und ich bin sicher, dass das Ariba-System keine Ausnahme war”, sagte der Administrator . “Ich würde nicht sagen, der Verkäufer hatte AD-Anmeldeinformationen, aber interne Administratoren würden ihre AD-Logins verwenden, um das System von innen zugreifen.Dies würde bedeuten, der Server hatte Zugriff auf den Rest des Unternehmensnetzwerks in irgendeiner Form oder ein anderes.

Poulin schlägt mehrere Angriffsszenarien vor: “Es ist möglich, dass Angreifer eine Sicherheitsanfälligkeit in der Webanwendung wie etwa SQL-Injection, XSS oder möglicherweise einen 0-tägigen Missbrauch missbraucht haben, um einen Anwesenheitspunkt zu erlangen, eskalieren und dann interne Systeme anzugreifen.”

Nicht wissen, die Details, macht es schwierig, eine Sanierung für diesen Teil des Angriffs bieten. Poulin meint jedoch, dass IPS / IDS-Systeme, falls vorhanden, den unangemessenen Angriffsverkehr erkannt hätten und die Zielpersonen über das ungewöhnliche Verhalten informiert hätten. Nach diesem Bloomberg Business Artikel wurde ein Malware-Erkennungs-Tool von der Computer-Sicherheitsfirma FireEye erstellt und schickte einen Alarm, aber die Warnung ging nicht beachtet.

4. Gewinnen Sie Kontrolle der Zielserver Wieder hat Target nicht öffentlich gesagt, wie die Angreifer einige ihrer internen Windows-Server untergraben, aber es gibt mehrere Möglichkeiten.

Radichel in der SANS-Dissertation bietet eine Theorie. “Wir können die Verbrecher spekulieren die Attack-Zyklus beschrieben in Mandiant’s APT1 Bericht, um Schwachstellen zu finden”, erwähnt Radichel. “Dann verschieben Sie sich seitlich durch das Netzwerk … mit anderen anfälligen Systemen.

Gary Warner, Gründer von Malcovery Security, fühlt sich Server zu SQL-Injection-Angriffen fiel. Er basiert, dass auf die vielen Gemeinsamkeiten zwischen der Zielverletzung und diejenigen, die von der Drinkman und Gonzalez Daten-Bruch-Bande, die auch verwendet SQL-Injektion begangen.

5. Weiterer Stopp, Targets Point of Sale (POS) -Systeme Dieser iSIGHT-Partnerbericht enthält Einzelheiten über die Malware mit dem Codenamen Trojan.POSRAM, mit der das Kassensystem von Target infiziert wird. Der “RAM-Scraping” -Abschnitt der POS-Malware packt Kredit- / Debitkarteninformationen aus dem Speicher von POS-Geräten, wenn Karten ausgetauscht werden. “Alle sieben Stunden überprüft der Trojaner, ob die Ortszeit zwischen den Stunden 10 und 17 Uhr liegt”, berichtet der iSIGHT-Partner. “Wenn dem so ist, versucht der Trojaner, winxml.dll über eine temporäre NetBIOS-Freigabe an einen internen Host (Dump-Server) innerhalb des kompromittierten Netzwerks über TCP-Port 139, 443 oder 80 zu senden.

Diese Technik ermöglichte es Angreifern, Daten von POS-Terminals zu stehlen, denen der Internetzugang fehlte.

Sobald die Kredit- / Debitkarteninformationen auf dem Dump-Server sicher waren, schickte die POS-Malware ein spezielles ICMP (Ping) -Paket an einen entfernten Server. Das Paket weist darauf hin, dass sich die Daten auf dem Dump-Server befinden. Die Angreifer verschoben dann die gestohlenen Daten zu Off-Site-FTP-Servern und verkauften ihre Beute auf dem digitalen Schwarzmarkt.

Lektionen gelernt

Als Ergebnis der Verletzung hat Target versucht, die Sicherheit zu verbessern. Eine Unternehmenswebsite beschreibt Änderungen, die das Unternehmen in Bezug auf ihre Sicherheitspositionen vornimmt, einschließlich der folgenden

Wenn diese Änderungen implementiert wurden, wie Target beschreibt, würden sie helfen, die während des Angriffs ausgebeuteten Schwächen anzugehen.

Jedoch zeigten die Angreifer außergewöhnliche Fähigkeiten, indem sie Daten von einem komplexen Einzelhandelsnetzwerk exfiltrierten, wie in diesem Papier (mit freundlicher Genehmigung von Brian Krebs) von Keith Jarvis und Jason Milletary von Dell SecureWorks Counter Threat Unit vermerkt wurde, was ihre Schlussfolgerungen umso ergreifender macht. “Dieses Niveau der Einfallsreichtum verweist auf den aktuellen Wert für Kreditkarten-Daten auf dem kriminellen Markt”, erwähnt das Papier. “Und ähnliche Verstöße werden gemeinsam sein, bis grundlegende Änderungen an der Technologie hinter Zahlungskarten vorgenommen werden.

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

Chrome startet die Kennzeichnung von HTTP-Verbindungen als nicht sicher

Das Hyperledger-Projekt wächst wie gangbusters