image

Malware kaapt kassasystemen via remote desktop

donderdag 31 juli 2014, 15:48 door Redactie, 8 reacties

Het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid heeft samen met de Secret Service en IT-beveiliger Trustwave Spiderlabs een waarschuwing afgegeven voor een nieuwe malware-variant die kassasystemen infecteert om vervolgens creditcardgegevens van klanten te stelen.

De malware heet "Backoff" en gebruikt remote desktop om toegang tot computers te krijgen. Remote desktop-oplossingen maken het mogelijk om een computer of server op afstand te beheren of te gebruiken. Om in te loggen gebruiken de aanvallers brute force-aanvallen. Slagen de aanvallers erin om toegang tot het systeem te krijgen, dan wordt de kassamalware geïnstalleerd.

Varianten

Uit onderzoek blijkt dat er meerdere varianten van Backoff in omloop zijn die nauwelijks door virusscanners worden gedetecteerd. Dat zou door de nu verschenen waarschuwing echter moeten veranderen. Backoff zou bij drie verschillende forensische onderzoeken zijn aangetroffen. Eenmaal actief op het kassasysteem steelt de malware creditcardgegevens uit het geheugen, die vervolgens naar de aanvallers worden teruggestuurd.

Ook kan Backoff toetsaanslagen opslaan en is er een Command & Control-onderdeel om met de aanvallers te communiceren. Die kunnen bijvoorbeeld de opdracht geven om de malware te updaten, aanvullende malware te installeren of de malware te verwijderen. In deze waarschuwing geven de verschillende instanties aanwijzingen die op een besmet kassasysteem duiden.

Verder worden er tips gegeven om de toegang tot remote desktop aan te scherpen, zoals het gebruik van twee-factor authenticatie en het aanpassen van de poort waarover remote desktop toegankelijk is, alsmede het aantal gebruikers en werkstations dat kan inloggen. Daarnaast volgen nog adviezen voor het beveiligen van de netwerken waarop de kassasystemen draaien en het beveiligen van de kassasystemen zelf.

Reacties (8)
31-07-2014, 16:25 door Anoniem
Remote desktop-oplossingen maken het mogelijk om een computer of server op afstand te beheren of te gebruiken.
Aangenomen dat die "computer of server" een desktop heeft. Een echte server heeft geeneens een videokaart, laat staan een desktop, en wordt dan ook niet via remote desktop benaderd. Je benadert zo'n ding als een server. Maargoed, met de commoditisatie van servers ("desktops kosten veul minder en doen het net zo goed") is dat een beetje in de vergetelheid geraakt, ondanks dat doen of je servertje een desktopje-op-afstand is een stuk minder efficient werkt.

Het staat namelijk toe dat mensen die er weinig verstand van hebben dit soort "beheer" er een beetje bij kunnen doen en dan worden er wel eens belangrijke dingen vergeten. Dat kun je ook zien aan adviezen als de poortjes omnummeren. Dat werkt gewoon niet, zorgt hooguit voor meer scanverkeer. Wil je je echt wapenen tegen dit soort gein dan moet je ophouden "goedkope" huis-tuin-en-keukenrommel tot productie te verheffen. Het is wel werkverschaffend, overigens, want je blijft tot in lengte van dagen druk met de schade te beperken en de gebrekkige beveiliging met noodgrepen en digitale tape op te lappen.
31-07-2014, 19:07 door Anoniem
Door Anoniem:
Remote desktop-oplossingen maken het mogelijk om een computer of server op afstand te beheren of te gebruiken.
Aangenomen dat die "computer of server" een desktop heeft. Een echte server heeft geeneens een videokaart, laat staan een desktop, en wordt dan ook niet via remote desktop benaderd. Je benadert zo'n ding als een server. Maargoed, met de commoditisatie van servers ("desktops kosten veul minder en doen het net zo goed") is dat een beetje in de vergetelheid geraakt, ondanks dat doen of je servertje een desktopje-op-afstand is een stuk minder efficient werkt.

Het staat namelijk toe dat mensen die er weinig verstand van hebben dit soort "beheer" er een beetje bij kunnen doen en dan worden er wel eens belangrijke dingen vergeten. Dat kun je ook zien aan adviezen als de poortjes omnummeren. Dat werkt gewoon niet, zorgt hooguit voor meer scanverkeer. Wil je je echt wapenen tegen dit soort gein dan moet je ophouden "goedkope" huis-tuin-en-keukenrommel tot productie te verheffen. Het is wel werkverschaffend, overigens, want je blijft tot in lengte van dagen druk met de schade te beperken en de gebrekkige beveiliging met noodgrepen en digitale tape op te lappen.

Semi-eens: denk dat de problematiek vooral schuilt in gebrek aan kennis, niet zo zeer in de produkten op zich.
Windows Servers kunnen bijvoorbeeld al heel lang zonder desktop worden geinstalleerd, en remote worden beheerd, maar dat vinden veel mensen lastig. Net zoals vrijwel alles tegenwoordig kan worden geautomatiseerd met PowerShell. Maar daar heb je wel goed opgeleide mensen voor nodig.
31-07-2014, 22:51 door Anoniem
Door Anoniem: Semi-eens: denk dat de problematiek vooral schuilt in gebrek aan kennis, niet zo zeer in de produkten op zich.
Die produkten zijn zowel gebaseerd op een omgeving als makers van diezelfde omgeving waar je hoegenaamd geen bergen kennis en dus geen training nodig zou hebben om er mee te kunnen werken. Het is een wisselwerking van uit onkunde systemen bouwen en systemen die zulke onkunde promoten.
31-07-2014, 23:48 door Eric-Jan H te D
Dat een server geen videokaart heeft wil nog niet zeggen dat hij geen desktop heeft.
Wel betekent het dat hij remote bedient moet worden. Geef mij dan maar een
server met grafische kaart en alle Remote uitgezet.

Ik geef toe niet altijd praktisch.
01-08-2014, 07:50 door Anoniem
Waarom hangt zoiets rechtstreeks aan het internet?
Er zijn modems, die VPN kunnen opzetten, er zijn providers die lijntjes kunnen leveren die niet op het internet maar op eigen prive network uitkomen.
01-08-2014, 08:43 door Anoniem
Door Anoniem:
Remote desktop-oplossingen maken het mogelijk om een computer of server op afstand te beheren of te gebruiken.
Aangenomen dat die "computer of server" een desktop heeft. Een echte server heeft geeneens een videokaart, laat staan een desktop, en wordt dan ook niet via remote desktop benaderd. Je benadert zo'n ding als een server. Maargoed, met de commoditisatie van servers ("desktops kosten veul minder en doen het net zo goed") is dat een beetje in de vergetelheid geraakt, ondanks dat doen of je servertje een desktopje-op-afstand is een stuk minder efficient werkt.

Het staat namelijk toe dat mensen die er weinig verstand van hebben dit soort "beheer" er een beetje bij kunnen doen en dan worden er wel eens belangrijke dingen vergeten. Dat kun je ook zien aan adviezen als de poortjes omnummeren. Dat werkt gewoon niet, zorgt hooguit voor meer scanverkeer. Wil je je echt wapenen tegen dit soort gein dan moet je ophouden "goedkope" huis-tuin-en-keukenrommel tot productie te verheffen. Het is wel werkverschaffend, overigens, want je blijft tot in lengte van dagen druk met de schade te beperken en de gebrekkige beveiliging met noodgrepen en digitale tape op te lappen.

Hear hear !
01-08-2014, 13:45 door Anoniem
Door Eric-Jan H te A: Dat een server geen videokaart heeft wil nog niet zeggen dat hij geen desktop heeft.
Wel betekent het dat hij remote bedient moet worden. Geef mij dan maar een
server met grafische kaart en alle Remote uitgezet.

Ik geef toe niet altijd praktisch.

Voor echte security officials blijft het altijd een gevecht tussen functionaliteit en veiligheid. Remote uit, ik zal je bejubelen en spijt voor je hebben als je elke keer dat je iets moet aanpassen naar de middel of nowhere moet reizen. Alles dicht gooien is 'vrijwel altijd' heb beste vanuit een beveiligingsopzicht. Het kan open gehouden worden, maar dan moet er op z'n minst een whitelist van ip('s) op gezet worden (whitelist, nooit van z'n leven een blacklist).
01-08-2014, 14:37 door Anoniem
Door Eric-Jan H te A: Dat een server geen videokaart heeft wil nog niet zeggen dat hij geen desktop heeft.
Wel betekent het dat hij remote bedient moet worden. Geef mij dan maar een
server met grafische kaart en alle Remote uitgezet.

Ik geef toe niet altijd praktisch.
Je denkt nog steeds desktopgedachten. Echte servers hebben (en veel netwerkapparatuur heeft het nog steeds) een serieele console, en kunnen daarmee prima lokaal bediend worden, inclusief POST, firmware, diagnostics en dergelijke. Heb je er veel in een datacentrum dan hang je ze met z'n allen aan een machine met een heleboel serieele poorten erin waar je via ssh bij kan.

Zeg maar wat nu gedaan wordt via (hopelijk eerst een bastionhost met erachter) een privaat netwerkje en een stapel afstandsbeheerkaarten in je servers. Maar dan een stuk simpeler en met makkelijker te implementeren toegangseisen voor bv. shared hosting-opzetten, zelfs makkelijker verder te automatiseren via expect scripts. En bij voldoende marktvraag hoeft zo'n ding niet groter te zijn dan een switch. Maarja, dan moet je zonder die kleurrijke menuutjes en muisbediening op je servert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.