Nieuws

Beveiliger RSA gehackt via Excel spreadsheet

maandag 4 april 2011, 10:06 door Redactie, 7 reacties

De aanval op beveiligingsbedrijf RSA vond plaats via een phishingaanval en Excel spreadsheet, zo heeft het bedrijf laten weten. Over een periode van twee dagen werden twee verschillende phishingberichten naar een groep werknemers verstuurd. Volgens Uri Rivner van RSA ging het niet om hooggeplaatst personeel of waren het "waardevolle doelwitten". De e-mail had als onderwerp “2011 Recruitment Plan.”

De e-mail was listig genoeg om één van de werknemers van het beveiligingsbedrijf het bestand “2011 Recruitment plan.xls" te laten openen. Het Excel-bestand bevatte een zero-day exploit die een beveiligingslek in Adobe Flash Player misbruikte. Inmiddels is het lek door Adobe gepatcht.

Backdoor
De tweede stap van de aanval bestond uit het installeren van een backdoor om toegang tot de geïnfecteerde machine te houden. In dit geval ging het om een Poison Ivy variant, die in een reverse-connect mode was ingesteld, wat detectie bemoeilijkt. In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Hoe lang de aanvallers toegang tot het RSA-netwerk hadden is onbekend, maar Rivner merkt op dat dit korter was dan bij andere bekende advanced persistent threat (APT) aanvallen. "Maar toch was er tijd voor de aanvaller om meer strategische gebruikers te identificeren en toegang tot hun machines te krijgen." Via privilege escalation wist de aanvaller zijn rechten te verhogen om toegang tot anderen accounts te krijgen.

Diefstal
Uiteindelijk werd FTP gebruikt om veel met wachtwoord beveiligde RAR-bestanden van de RSA bestandsserver naar een externe, gehackte server te kopiëren. Daar werden ze weer door de aanvaller opgehaald. Welke informatie precies is buitgemaakt laat Rivner niet weten.

Wel schrijft hij dat de domeinen good.mincesur.com, up82673.hopto.org en www.cz88.net bij de aanval betrokken waren. "Misschien kan dit incident als een oefening worden gebruikt als je naar je eigen infrastructuur kijkt en afvraagt welke oplossingen je tegen soortgelijke aanvallen hebt", besluit de topman.

Windows 7 krijgt EAL4+ certificering

Adobe en Google software bevat meeste lekken

Reacties (7)

04-04-2011, 11:27 door corebyte

Ja hoe stop je dit? Je collega's bewust maken van het niet openen van bijlages bij ongewenste mail..

Blijft lastig om op te lossen.

04-04-2011, 13:01 door Anoniem

In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.

Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.

Peter

04-04-2011, 15:16 door Anoniem

Door Anoniem:

In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Daar heeft men proxy's en idsen voor die dat horen af te vangen :) tevens heb je ook meuk die je content kan scannen op gevoelige gegevens (daar heb je echter niks aan bij een protected rar file).
Het is eingelijk altijd zo dat er bij driveby aanvallen, wat dit ook sort of is (ok het is een gestuurde mail met exploit) die verbinden terug naar de server, maar bij daadwerkelijk scannen en exploiten maak jij er verbinding mee :)

Dit is ook het grote nadeeel van NAT, het blokkeert maar aan een kant, en vaak gebeurd dat ook zo bij beheerders, enkel inbound firewallen en niet outbound.

04-04-2011, 16:02 door sjonniev

"In dit geval ging het om een Poison Ivy variant, die in een reverse-connect mode was ingesteld, wat detectie bemoeilijkt. In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom."

Wel eens van een client firewall gehoord?

04-04-2011, 16:06 door sjonniev

Door Anoniem:

In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.

Nee hoor, je hoeft niets aan te passen. Een programma dat gaat luisteren naar een C&C server zal weinig horen achter NAT.

05-04-2011, 21:10 door [Account Verwijderd]

[Verwijderd]

03-05-2011, 14:58 door Anoniem

Het Excel-bestand bevatte een zero-day exploit die een beveiligingslek in Adobe Flash Player misbruikte. Inmiddels is het lek voor Adobe gepatcht.

Via host-based IPS/ virtual patching kunnen dit soort exploits voorkomen worden. Die zijn in ieder geval vaak sneller beschikbaar dan de software patch...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer