Beveiliger RSA gehackt via Excel spreadsheet
De aanval op beveiligingsbedrijf RSA vond plaats via een phishingaanval en Excel spreadsheet, zo heeft het bedrijf laten weten. Over een periode van twee dagen werden twee verschillende phishingberichten naar een groep werknemers verstuurd. Volgens Uri Rivner van RSA ging het niet om hooggeplaatst personeel of waren het "waardevolle doelwitten". De e-mail had als onderwerp “2011 Recruitment Plan.”
De e-mail was listig genoeg om één van de werknemers van het beveiligingsbedrijf het bestand “2011 Recruitment plan.xls" te laten openen. Het Excel-bestand bevatte een zero-day exploit die een beveiligingslek in Adobe Flash Player misbruikte. Inmiddels is het lek door Adobe gepatcht.
Backdoor
De tweede stap van de aanval bestond uit het installeren van een backdoor om toegang tot de geïnfecteerde machine te houden. In dit geval ging het om een Poison Ivy variant, die in een reverse-connect mode was ingesteld, wat detectie bemoeilijkt. In dit geval maakt de besmette computer verbinding met de command & control server in plaats van andersom.
Hoe lang de aanvallers toegang tot het RSA-netwerk hadden is onbekend, maar Rivner merkt op dat dit korter was dan bij andere bekende advanced persistent threat (APT) aanvallen. "Maar toch was er tijd voor de aanvaller om meer strategische gebruikers te identificeren en toegang tot hun machines te krijgen." Via privilege escalation wist de aanvaller zijn rechten te verhogen om toegang tot anderen accounts te krijgen.
Diefstal
Uiteindelijk werd FTP gebruikt om veel met wachtwoord beveiligde RAR-bestanden van de RSA bestandsserver naar een externe, gehackte server te kopiëren. Daar werden ze weer door de aanvaller opgehaald. Welke informatie precies is buitgemaakt laat Rivner niet weten.
Wel schrijft hij dat de domeinen good.mincesur.com, up82673.hopto.org en www.cz88.net bij de aanval betrokken waren. "Misschien kan dit incident als een oefening worden gebruikt als je naar je eigen infrastructuur kijkt en afvraagt welke oplossingen je tegen soortgelijke aanvallen hebt", besluit de topman.
Blijft lastig om op te lossen.
Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.
Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.
Peter
Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.
Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.
Peter
Het is eingelijk altijd zo dat er bij driveby aanvallen, wat dit ook sort of is (ok het is een gestuurde mail met exploit) die verbinden terug naar de server, maar bij daadwerkelijk scannen en exploiten maak jij er verbinding mee :)
Dit is ook het grote nadeeel van NAT, het blokkeert maar aan een kant, en vaak gebeurd dat ook zo bij beheerders, enkel inbound firewallen en niet outbound.
Wel eens van een client firewall gehoord?
Volgens mij is het juist gebruikelijk dat de besmette computer verbinding zoekt met de C&C server. Zo omzeil je ook firewalls en NAT-configuraties.
Als het anders is, dan hoor ik dat graag. Want dan moet ik de tekst van de cursus, die ik volgende week ga geven, aan gaan passen.
Peter
Nee hoor, je hoeft niets aan te passen. Een programma dat gaat luisteren naar een C&C server zal weinig horen achter NAT.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.