יום שבת, 27 באוגוסט 2011

How RSA Hacked - Detailed Analysis


על פי פרסומים שונים והבנה של אנשי אבטחת המידע המטרה העקרית של אחת המדינות

היתה לתקוף את Lockheed-Martin and Northrop-Grumman

אירגונים אלו החזיקו מידע רגיש על מטוסים ורכיבי לוחמה שונים והיו מוגנים

על ידי רכיבי אבטחת מידע שונים אשר אפשרו כניסה לאחר הזדהות חזקה (RSA TOKEN).

לכן תקיפה של ארגון כגון RSA יכולה לאפשר קבלת מפתח MASTER KEY לכלל הארגונים.

כל השאר כבר די ידוע אך מה שאותי עניין זה איך התבצעה התקיפה בפועל.

לאחרונה קראתי מאמר מעניין של F-SECURE שמדבר על איך איתר אחד החוקרים

בשם TIMO את הקבצים שנשלחו לעובדי חברת RSA.

קצת מידע מקדים לפני הכל: הקובץ שנשלח היה מסוג xls (אקסל )

שם הנושא של המייל שנשלח היה 2011 Recruitment plan

כמו כן ידוע כי היה שימוש בפרצה באוביקט מסוג פלאש.

TIMO כתב כלי אשר חיפש במאגרי הקבצים הזדונים של F-SECURE

ומטרתו לחפש קבצים הדומים לעובדות שתוארו מעלה.


לאחר זמן מה איתר TIMO מספר קבצים שבינהם היה קובץ מסוג MSG

קובץ של הודעת מייל, הקובץ הכיל את הודעת המייל המלאה שנשלחה ב - 3 למרץ

לעובדי RSA.

להלן תמונת מסך של הודעת הדואר המקורית שנשלחה:



לא רק שאותר הקובץ אלא התברר כי אחד העובדים של RSA העלה את הקובץ

ל - VIRUSTOTAL למטרת סריקה:




לאחר ניתוח הקובץ הזדוני התגלה כי קובץ האקסל ניצל פרצה ברכיב הפלאש

מסוג CVE-2011-0609 אשר העלתה סוס טוריאני מוכר Poison Ivy.

לאחר מכן התחבר הסוס הטוריאני למספר כתובות ששירתו את התוקף לשליטה

להלן רשימת הכתובות:




נ.ב אם אתם מנהלי אבטחה של ארגון ושומרים לוגים של ה - FW שווה לראות

האם הארגון שלכם גלש לכתובות הנ"ל.

לאחר קבלת השליטה המלאה על תחנת המשתמש בוצעה פריצה מלאה לרשת וקבלת

הרשאות על.

עכשיו השאלה הנשאלת היא האם הפריצה הייתה מתוחכמת או מורכבת?

המייל שנשלח לא היה מתוחכם למדי,השימוש בסוס טרויאני מוכר לא היה מתוחכם

שימו לב התגלה על ידי 18 מתוך 41 מנועים, הייתי מצפה לסוס טוריאני לא מזוהה.

אך השימוש ב - 0day היה מתוכם וגם האדם או הארגון שעמד מאחורי התקיפה.

ותחשבו על זה :)

לסיכום להלן סירטון המציג את תהליך ההדבקה שימו לב ל - X הקטן איך הוא

נעלם בסוף ההדבקה:




2 תגובות:

Menashe אמר/ה...

לא להאמין שלאחר ההדבקה לא עלה לעובדים חשד שהם אכלו אותה ולבדוק את המחשב שלהם, פשוט משהו בלתי יאומן שלא היתי מצפה שיקרה דווקא לחברת אבטחה:X

אנונימי אמר/ה...

זה של-RSA אין פיירוול נורמלי... או שעובד שקיבל גליון XSL ריק, לא יחשוד?

ואם אחד העובדים שלח לבדיקה, וקיבל תוצאות שליליות - למה לא דיווח מיד? מה זה משרד קטן?...