Anatomi Target dataintrång: Missade möjligheter och lärdomar

Target ökända dataintrång hände för drygt ett år sedan. Är vi alla klokare? Har lektioner dragits? Även om inte alla detaljer har offentliggjorts, har experter utvecklat en inofficiell attack tidslinje som exponerar kritiska tidpunkter i attacken och belyser flera punkter där det kunde ha stoppats.

Attacken inleddes den 27 november, upptäckte 2013. Target personal överträdelsen och meddelat amerikanska justitiedepartementet med 13 december. Per 15 december, Target hade en tredje part kriminaltekniska team på plats och attacken mildras. Den 18 december, säkerhet bloggare Brian Krebs bröt historien i det här inlägget. “Rikstäckande butiksnät jätte Target utreder dataintrång potentiellt omfattar miljontals kundkrediter och betalkorts register” som nämns Krebs. “Källorna sade överträdelsen tycks ha börjat på eller runt Black Friday 2013 – överlägset mest trafikerade shopping dag på året.

Då saker och ting blev intressant. Target informerade om 110 miljoner kredit / bankkort-kort svingar shoppare, som gjorde inköp på en av företagets butiker under attacken, att deras personliga och finansiella information hade äventyrats. För att sätta det i perspektiv, angriparna snattat 11 gigabyte data.

Låt oss nu titta på händelseförloppet som fällts databrott. Hade någon av dessa steg uppmärksammats och motverkas skulle attacken troligen har fallit isär.

1. Inledande undersökning Vi vet inte säkert om eller hur angriparna utförde spaning på Target nätverk före attacken, men det skulle inte ha krävt mycket mer än en enkel sökning på Internet.

Teri Radichel i denna GIAC (GSEC) avhandling förklarar hur angriparna kan ha samlats in information om Target infrastruktur. “Spaning skulle ha avslöjat en detaljerad studie på Microsofts webbplats som beskriver hur Target använder Microsofts virtualiseringsprogram, centraliserad namn upplösning och Microsoft System Center Configuration Manager för att distribuera säkerhetsuppdateringar och systemuppdateringar”, skriver Radichel. “Fallstudien beskriver också Target tekniska infrastruktur, inklusive POS systeminformation.

Internet ger ytterligare ledtrådar. “En enkel Google-sökning dyker upp mål Supplier Portal, som innehåller en mängd information för nya och befintliga leverantörer och leverantörer om hur man interagerar med företaget, lämna in fakturor, etc.”, tillägger Krebs i detta blogginlägg. Efter borrning ner, Krebs hittade en sida som listar HVAC och kylan företag.

2. Kompromisstredjepartsleverantör Angriparna backas sig in Target företagsnätverk genom att kompromissa en tredjepartsleverantör. Antalet leverantörer riktade är okänd. Men det tog bara en. Det råkade vara Fazio mekaniska, en kyl entreprenör.

Förbättrade övervakning och loggning av systemaktivitet, program vitlistning POS-system och installeras, Genomförda POS hanteringsverktyg, förbättrad regler och policies brandväggs, Begränsad eller handikappade leverantör tillgång till deras nätverk, Disabled, återställs eller minskade förmåner om över 445 tusen Target personal och entreprenadkonton ; Expanded användningen av tvåfaktorsautentisering och lösenord valv, utbildade personer lösenordet rotation

Ett e-postmeddelande duped minst en Fazio anställd, vilket gör att Citadel, en variant av Zeus bank trojan, som ska installeras på Fazio datorer. Med Citadel på plats, väntade angriparna tills malware erbjuds vad de letade efter – Fazio Mekaniska inloggningsuppgifter.

Vid tidpunkten för brottet, alla större versioner av företagets anti-malware upptäckt Citadel skadlig kod. Ogrundade källor nämns Fazio använt den fria versionen av Malwarebytes Anti-Malware, som erbjöd ingen realtidsskydd är en on-demand scanner. (Obs: Malwarebytes Anti-Malware är mycket uppskattad av experter när de används på rätt sätt.)

Chris Poulin, en forskningsstrateg för IBM, i detta dokument har några förslag. Målet bör kräva att leverantörer tillgång till sina system använder lämpliga anti-malware program. Poulin tillägger. “Eller åtminstone mandat tvåfaktorsautentisering till entreprenörer som har intern tillgång till känslig information.”

3. Utnyttja Target leverantörsportal tillgång Troligtvis Citadel utläsa också inloggningsuppgifter för portaler som används av Fazio mekaniska. Med det i hand, angriparna fick arbeta räkna ut vilken portal för att undergräva och använda som en mellanstation i Target interna nätverk. Target har inte officiellt sagt vilket system var startpunkten, men Ariba portal var en utmärkt kandidat.

Säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiserats för cyber nödsituationer av regeringen vakthund, säkerhet, Chrome att starta märkning HTTP-anslutningar som osäkra, säkerhet, The Hyperledger Project växer som gangbusters

Brian Krebs intervjuade en tidigare medlem av Target: s säkerhetsteam om Ariba portalen “De flesta, om inte alla, interna applikationer på Target används Active Directory (AD) referenser och jag är säker på att Ariba systemet var inget undantag”, administratören berättade Krebs . “Jag skulle inte säga säljaren hade AD referenser, men interna administratörer skulle använda sina AD inloggningar för att komma åt systemet från insidan. Detta skulle innebära att servern hade tillgång till resten av företagets nätverk i en eller annan form.

Poulin föreslår flera attackscenarier, “Det är möjligt att angripare missbrukat en sårbarhet i webbapplikationen, såsom SQL-injektion, XSS, eller möjligen en 0-dag, för att få en point of presence, eskalera privilegier, sedan attackera interna system.”

Inte känna till detaljerna, gör det svårt att erbjuda en sanering för denna del av attacken. Men opines Poulin att IPS / IDS system, om på plats, skulle ha kände olämplig attack trafik, meddela Target personal ovanligt beteende. Enligt denna Bloomberg Business artikeln, en skadlig kod verktyg tillverkat av datorn bevakningsföretag FireEye var på plats och skickade ett larm, men varningen gick spårlöst förbi.

4. få kontroll över målservrarna Återigen har Target inte sagt offentligt hur angriparna undermineras flera av sina interna Windows-servrar, men det finns flera möjligheter.

Radichel i SANS Avhandlingen ger en teori. “Vi kan spekulera brottslingar använt attacken cykel som beskrivs i Mandiant s Apt1 rapport att hitta sårbarheter”, nämner Radichel. “Då röra sig i sidled genom nätverket … med andra sårbara system.

Gary Warner, grundare av Malcovery säkerhet, känns servrar föll till SQL-injektion attacker. Han grundar det på de många likheterna mellan Target brott och de som begås av Drinkman och Gonzalez databrott gäng som också används SQL-injektion.

5. Nästa stopp, målets försäljnings (POS) system Denna iSight Partners rapport ger information om skadlig kod, med kodnamnet Trojan.POSRAM, som används för att infektera Target POS-system. Den “RAM-skrapning” delen av POS malware griper kredit- / betalkortsinformation från minnet av POS-enheter som kort dras. “Varje sju timmar trojanska kontrollerar att se om den lokala tiden är mellan klockan 10:00 och 17:00,” nämner iSight Partners rapport. “Om så är fallet, det trojanska försöker skicka winxml.dll över en tillfällig NetBIOS aktie till en intern värd (dump-server) inuti äventyras nätverk över TCP-port 139, 443 eller 80.

Denna teknik tillät angripare att stjäla data från POS-terminaler som saknade tillgång till internet.

När informationen kredit / bankkort var säker på soptippen servern skickade POS malware en speciell ICMP (ping) paket till en fjärrserver. Paketet indikerade att data bosatt på soptippen servern. Angriparna sedan flyttade de stulna data till off-site FTP-servrar och sålde sitt byte på den digitala svarta marknaden.

Lärdomar

Som ett resultat av brott, har Target försökt att förbättra säkerheten. Ett företags hemsida beskriver ändringar som gjorts av företaget om deras säkerhet hållning, bland annat följande

Om dessa förändringar har genomförts som Target beskriver skulle de hjälpa åtgärda bristerna utnyttjas under attacken.

Men angriparna visade extra kapacitet genom exfiltrating data från ett komplext återförsäljarnät som noterats i detta dokument (artighet av Brian Krebs) av Keith Jarvis och Jason Milletary Dell Secureworks Counter Threat enheten, vilket gör deras slutsats allt mer gripande. “Denna nivå av uppfinningsrikedom pekar på det aktuella värdet för kreditkort data i den kriminella marknaden” nämner tidningen. “Och liknande brott kommer att vara gemensam tills grundläggande förändringar görs i tekniken bakom betalkort.

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund

Krom att börja märkning HTTP-anslutningar som osäkra

Den Hyperledger Project växer som gangbusters