image

Beveiliger RSA gehackt via Excel spreadsheet

maandag 4 april 2011, 10:06 door Redactie, 7 reacties

De aanval op beveiligingsbedrijf RSA vond plaats via een phishingaanval en Excel spreadsheet, zo heeft het bedrijf laten weten. Over een periode van twee dagen werden twee verschillende phishingberichten naar een groep werknemers verstuurd. Volgens Uri Rivner van RSA ging het niet om hooggeplaatst personeel of waren het "waardevolle doelwitten". De e-mail had als onderwerp “2011 Recruitment Plan.”

De e-mail was listig genoeg om één van de werknemers van het beveiligingsbedrijf het bestand “2011 Recruitment plan.xls" te laten openen. Het Excel-bestand bevatte een zero-day exploit die een beveiligingslek in Adobe Flash Player misbruikte. Inmiddels is het lek door Adobe gepatcht.

Backdoor
De tweede stap van de aanval bestond uit het installeren van een backdoor om toegang tot de geïnfecteerde machine te houden. In dit geval ging het om een Poison Ivy variant, die in een reverse-connect mode was ingesteld, wat detectie bemoeilijkt. In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Hoe lang de aanvallers toegang tot het RSA-netwerk hadden is onbekend, maar Rivner merkt op dat dit korter was dan bij andere bekende advanced persistent threat (APT) aanvallen. "Maar toch was er tijd voor de aanvaller om meer strategische gebruikers te identificeren en toegang tot hun machines te krijgen." Via privilege escalation wist de aanvaller zijn rechten te verhogen om toegang tot anderen accounts te krijgen.

Diefstal
Uiteindelijk werd FTP gebruikt om veel met wachtwoord beveiligde RAR-bestanden van de RSA bestandsserver naar een externe, gehackte server te kopiëren. Daar werden ze weer door de aanvaller opgehaald. Welke informatie precies is buitgemaakt laat Rivner niet weten.

Wel schrijft hij dat de domeinen good.mincesur.com, up82673.hopto.org en www.cz88.net bij de aanval betrokken waren. "Misschien kan dit incident als een oefening worden gebruikt als je naar je eigen infrastructuur kijkt en afvraagt welke oplossingen je tegen soortgelijke aanvallen hebt", besluit de topman.

Reacties (7)
04-04-2011, 11:27 door corebyte
Ja hoe stop je dit? Je collega's bewust maken van het niet openen van bijlages bij ongewenste mail..

Blijft lastig om op te lossen.
04-04-2011, 13:01 door Anoniem
In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.

Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.

Peter
04-04-2011, 15:16 door Anoniem
Door Anoniem:
In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.

Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.

Peter
Daar heeft men proxy's en idsen voor die dat horen af te vangen :) tevens heb je ook meuk die je content kan scannen op gevoelige gegevens (daar heb je echter niks aan bij een protected rar file).
Het is eingelijk altijd zo dat er bij driveby aanvallen, wat dit ook sort of is (ok het is een gestuurde mail met exploit) die verbinden terug naar de server, maar bij daadwerkelijk scannen en exploiten maak jij er verbinding mee :)

Dit is ook het grote nadeeel van NAT, het blokkeert maar aan een kant, en vaak gebeurd dat ook zo bij beheerders, enkel inbound firewallen en niet outbound.
04-04-2011, 16:02 door sjonniev
"In dit geval ging het om een Poison Ivy variant, die in een reverse-connect mode was ingesteld, wat detectie bemoeilijkt. In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom."

Wel eens van een client firewall gehoord?
04-04-2011, 16:06 door sjonniev
Door Anoniem:
In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.

Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.

Peter

Nee hoor, je hoeft niets aan te passen. Een programma dat gaat luisteren naar een C&C server zal weinig horen achter NAT.
05-04-2011, 21:10 door [Account Verwijderd]
[Verwijderd]
03-05-2011, 14:58 door Anoniem
Het Excel-bestand bevatte een zero-day exploit die een beveiligingslek in Adobe Flash Player misbruikte. Inmiddels is het lek voor Adobe gepatcht.
Via host-based IPS/ virtual patching kunnen dit soort exploits voorkomen worden. Die zijn in ieder geval vaak sneller beschikbaar dan de software patch...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.