pos data breach, analisi di un attacco. di enrico fontan - festival ict 2015
TRANSCRIPT
POS Data BreachAnalisi di Un Attacco
Enrico Fontan
Riferimenti
Linkedin: https://ch.linkedin.com/in/enricofontanTwitter: @erfontan
Enrico Fontan
Enrico Fontan – Festival ICT, 11 NOV 2015
Home Depot Findings in Payment Data Breach Investigation
Atlanta, November 6 2014
Criminals used a third-party vendor’s user name and password to enter the perimeter of Home Depot’s network. These stolen credentials alone did not provide direct access to the company’s point-of-sale devices.
The hackers then acquired elevated rights that allowed them to navigate portions of Home Depot’s network and to deploy unique, custom-built malware on its self-checkout systems in the U.S. and Canada.
56 Million Credit Card record Stolen
Enrico Fontan – Festival ICT, 11 NOV 2015
TargetUnauthorized access to payment card data
Minneapolis, December 19 2013
The unauthorized access may impact guests who made credit or debit card purchases in our U.S. stores from Nov. 27 to Dec. 15, 2013.
We began investigating the incident as soon as we learned of it. We have determined that the information involved in this incident included customer name, credit or debit card number, and the card’s expiration date and CVV.
40 Million Credit Card record Stolen
Enrico Fontan – Festival ICT, 11 NOV 2015
SEPAcquisizione Credenziali Partner Fazio Mec. Serv.
12 NOVIntrusione nella rete di Target
15-28 NOVPrimi Test di infezione POS
30 NOVPOS Malware installato globalmente
02 DICInizio Esportazione Dati
15 DICAttaccante perde il controllo della rete Target
19 DICTarget comunica di aver subito una perdita di 40M di record di Carte di Credito
Enrico Fontan – Festival ICT, 11 NOV 2015
Reconnaissance
• Acquisizione di informazioni sullaVittima
Weaponization
• Preparazione del Payload da inviarealla vittima
Delivery
• Invio del Payload allavittima
Exploitation
• Payload distribuito sulla rete
Installation
• Prima connessione alla rete
Command & Control
• Accesso remoto alla rete della vittima
Actions & Objectives
• Esportazione record carte di credito
Enrico Fontan – Festival ICT, 11 NOV 2015
Intrusion Kill Chain
ReconnaissanceAcquisizione di informazioni sulla Vittima
Enrico Fontan – Festival ICT, 11 NOV 2015
WeaponizationPreparazione del Payload da inviare alla vittima
Enrico Fontan – Festival ICT, 11 NOV 2015
DeliveryInvio del Payload alla vittima
Enrico Fontan – Festival ICT, 11 NOV 2015
Exploitation Payload distribuito sulla rete
Enrico Fontan – Festival ICT, 11 NOV 2015
InstallationPrima connessione alla rete
Enrico Fontan – Festival ICT, 11 NOV 2015
Command and Control (C2) Accesso remoto alla rete della vittima
Enrico Fontan – Festival ICT, 11 NOV 2015
Actions on ObjectivesEsportazione record carte di credito
Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOSRamScraper
*Source: Dell SecureWorks
Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOSExfiltrator
*Source: Dell SecureWorks
Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOSDump Server
*Source: Dell SecureWorks
Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOSAccount
*Source: BMC Software, Knowledge Article ID: KA286699
Enrico Fontan – Festival ICT, 11 NOV 2015
Best1_User Account Overview
The 'Best1_User' account created by the Perform Installation is used for sending MAPI mail messages and when running Investigate script actions on Microsoft Windows machines.
FTP ExfiltrationDump Server
*Source: Dell SecureWorks
Enrico Fontan – Festival ICT, 11 NOV 2015
Bladelogic Service FTP config
15-28 NOVPrimi Test di infezione POS
SEPAcquisizione Credenziali Partner Fazio Mec. Serv.
12 NOVIntrusione nella rete di Target
19 DICTarget comunica di aver subito una perdita di 40M di record di Carte di Credito
Enrico Fontan – Festival ICT, 11 NOV 2015
- Rimozione Malware
30 NOVPOS Malware installato globalmente
02 DICInizio Esportazione Dati
15 DICAttaccante perde il controllo della rete Target
- Alert Symantec- Primo Alert FireEye
- FireEye generazione ulteriori alert
12 DICDipartimento della difesa notifica Target
Reconnaissance
• Acquisizione di informazioni sullaVittima
• Controllo informazioni accessibili via web
Weaponization
• Preparazione del Payload da inviarealla vittima
• Real time anti-malware software upgrade
Delivery
• Invio del Payload allavittima
• Security Awareness
• Autenticazione a due fattori
Exploitation
• Payload distribuitosulla rete
• Segmentazione della rete
Installation
• Prima connessionealla rete
• Rimozione default account
• White-Listing processi
Command & Control
• Accesso remoto allarete della vittima
• Firewall Inspection
• Firewall egress filtering
Actions & Objectives
• Esportazione record carte di credito
• Analisi comportamenti anomali di Rete.
• Correlazione di anomalie nei log
Enrico Fontan – Festival ICT, 11 NOV 2015
Intrusion Kill Chain –Cosa fare
Reconnaissance Weaponization Delivery Exploitation InstallationCommand &
ControlActions &
Objectives
Enrico Fontan – Festival ICT, 11 NOV 2015
Per concludere
Sources
Brian Krebs
• http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/
Enrico Fontan – Festival ICT, 11 NOV 2015
NUIX• http://www.nuix.com/2014/09/08/blackpos-v2-new-variant-or-different-family
HOME Depot• https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf
DELL SecureWorks• http://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf
Riferimenti
Linkedin: https://ch.linkedin.com/in/enricofontanTwitter: @erfontan
Enrico Fontan
Enrico Fontan – Festival ICT, 11 NOV 2015