» »

Znane vse podrobnosti napada na RSA

F-Secure - EMC oziroma njegova divizija RSA, ki je proizvajalec sistema SecurID za preverjanje pristnosti, je bil 3. marca napaden. Sprva je RSA zatrjevala, posledic za uporabnike ne bo, a se je kasneje izkazalo, da so bili žetoni za SecurID kompromitirani. Na lastni koži je to izkusil Lockheed Martin, v katerega so na ta način uspešno vdrli, kar je RSA prisililo v zamenjavo večine žetonov. Nekaj mesecev po napadu je postalo znanih že več podrobnosti o njegovem poteku, sedaj pa je F Secure pridobil še dejanske datoteke, s katerimi je bil napad izpeljan. V resnici so jih imeli že dlje časa, le vedeli niso zanje, saj jih je nek uporabnik prijavil prek spletnega protivirusnika VirusTotal.

Kot je znano, so neznani napadalci manjši skupini zaposlenih v RSA poslali dvoje različnih elektronskih sporočil. V obeh, ki sta imeli mimogrede ponarejen zapis v polju Od, je bila zgolj vrstica ali dve besedila, priložena pa je bila priponka z naslovom 2011 Recruitment plan.xls. Čeprav je programska oprema to avtomatično razvrstila v predal spam, je nekdo izmed zaposlenih sporočilo rešil iz vic in ga odprl. S tem pa je odprl pot za napad.

Ko je priponko odprl, je videl le prazno Excelovo datoteko, v kateri je bil le en znak X. To je tudi edini indic, da je vsebovala zlonamerno Flashevo datoteko, ki je izkoristila ranljivost CVE-2011-0609. Omenjena ranljivost je bila v času napada neznana (zero-day), zato se proti njej ni bilo mogoče zaščititi. S tem je imela zlobna koda proste roke, da na računalnik namesti program Poison Ivy, ki omogoča oddaljen nadzor. Tako so napadalci pridobili popoln dostop do delovne postaje in vseh omrežnih pogonov, do katerih je ta lahko dostopila.

Napad sam po sebi torej ni bil nič kaj zapleten. Potrebno je bilo zgolj najti nedokumentirano in nezakrpano luknjo v Flashu ter računati na človeški faktor. Še vedno pa ni znano, kdo stoji za napadom. Trenutno raziskovalci predvidevajo, da je bil pravi cilj Lockheed Martin da je bil RSA zgolj vmesna postaja. To bi postavilo vir v kakšno izmed držav na ameriški osi zla.

14 komentarjev

denial ::

Omenjena ranljivost je bila v času napada neznana (zero-day), zato se proti njej ni bilo mogoče zaščititi.

Wrong. EMET je blokiral exploit.
SELECT finger FROM hand WHERE id=3;

neres ::

Pri tem se -ponovno- sprašujem kaj hudiča imajo Flash elementi za delat v Excelu.
In to da Flash lahko poganja programe tudi, katastrofa.. čeprav je bila ranljivost in ne 'uradna' funkcija.

user1618 ::

Na flashu temeljijo tudi kakšne resne poslovne aplikacije npr. Xcelsius, zaradi česar sem prav skeptičen.

ender ::

V Excel (in druge Office programe - pa tudi LibreOffice) lahko vstavljaš ActiveX predmete, in Flash je samo eden od njih.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Curious ::

denial je izjavil:

Wrong. EMET je blokiral exploit.

denial, lahko malce bolj podrobno opišeš kako se uporabi EMET (za ta primer oz. bolj splošno).

denial ::

Za konkreten Excel primer:

1. Download EMET
2. Double click to install...
3. Start the app, then:
  - click "Configure Apps"
  - click "Add"
  - locate "excel.exe"
  - enable all mitigations
4. Done!

Će uporabljaš XP/2003 imaš ASLR via Wehntrust.

Could it be more simple?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Curious ::

denial je izjavil:

Za konkreten Excel primer:

1. Download EMET
2. Double click to install...
3. Start the app, then:
  - click "Configure Apps"
  - click "Add"
  - locate "excel.exe"
  - enable all mitigations
4. Done!

Će uporabljaš XP/2003 imaš ASLR via Wehntrust.

Could it be more simple?


Hvala. Gre za Win7, Office 2010. Kako pa kaj podobnega narediš za celotno podjetje, recimo 70 PCjev?

denial ::

E, tukaj se zadeva mal "zakomplicira". Obstaja kar nekaj načinov. Jaz sem preveril tisto prvo možnost - deployment from common share.

Torej skonfiguriraš EMET na eni mašini, zarolaš emet_conf --export emet.xml iz ukazne vrstice in prekopiraš cel %ProgramFiles%\EMET direktorij na network share. Potem se z mašine, ki jo želiš EMET-izirat konektaš na share (via admin priv command prompt) in zarolaš emet_conf --import emet.xml

Kolk časa boš potreboval za EMET-izirati 70 mašin pa je odvisno od tvoje iznajdljivosti.
SELECT finger FROM hand WHERE id=3;

Curious ::

denial vse jasno, še enkrat hvala. Sem tudi sam našel to temo o različnih načinih in bom definitvno testiral. O EMET-u sem že nekajkrat slišal, na hitro bral, zadnji čas, da se ga lotim. Predvsem na Java, Flash in deloma tudi Adobe Reader X, čeprav imam Protected Mode...potem pa še ostalo (v temi je kar dober seznam).

denial ::

Za začetek je čisto dovolj, da EMET-iziraš aplikacije, ki so pogosta tarča: Java, Reader, Word, Excel, Powerpoint, Messenger, WMP, browserje ... + internet faced programe (npr. mIRC, uTorrent ...). Na XP-jih sem EMET-iziral celo svchost.exe in zadeva deluje BP. Boš pa prej ali slej naletel na program, ki pod EMET ne bo deloval (Chrome se npr. ni hotel updejtat, ampak baje so to pri Googlu odpravili). Največkrat sta "krivca" DEP in EAF.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MrStein ::

denial je izjavil:

Za konkreten Excel primer:

1. Download EMET
2. Double click to install...
3. Start the app, then:
  - click "Configure Apps"
  - click "Add"
  - locate "excel.exe"
  - enable all mitigations
4. Done!

Će uporabljaš XP/2003 imaš ASLR via Wehntrust.

Could it be more simple?

Hmm, zakaj potem to ni default?
Teštiram če delaž - umlaut dela: ä ?

denial ::

Zakaj PaX/grsecurity ni default? Ker ljudje hočejo usability in fancy programčke. Security nikogar ne zanima.
SELECT finger FROM hand WHERE id=3;

Iatromantis ::

Znane vse podrobnosti napada na RSA
...
Še vedno pa ni znano, kdo stoji za napadom.


No ja, če sta bila med prvimi tarčami L-3 in Locheed Martin je dokaj jasno, da je to vladno hekanje, vojaško-industrijsko vohunstvo...

MrStein ::

denial je izjavil:

Zakaj PaX/grsecurity ni default? Ker ljudje hočejo usability in fancy programčke. Security nikogar ne zanima.

Ja, ampak po pisanem sodeč Excel lepo dela s temi nastavitvami. Ali sem kaj narobe razumel?
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Znane vse podrobnosti napada na RSA

Oddelek: Novice / Varnost
143016 (1803) MrStein
»

Marčevski napad na RSA kompromitiral žetone SecurID

Oddelek: Novice / Varnost
436011 (3962) MyotisSI
»

Napad na RSA, prizadet SecurID

Oddelek: Novice / Varnost
416871 (3663) McMallar
»

Hekerji vdrli v Lockheed Martin

Oddelek: Novice / Varnost
385171 (3137) darkolord

Več podobnih tem