Koreaanse banken gehackt via zero-days in anti-virus en VM
De afgelopen jaren zijn Zuid-Koreaanse banken het doelwit van verschillende gerichte aanvallen geworden, waarbij de aanvallers ook zero-days in anti-virussoftware en virtual machinesoftware gebruikten om de banknetwerken te compromitteren. Dat hebben medewerkers van het Koreaanse Financial Security Institute tijdens de Black Hat Asia beveiligingsconferentie laten weten (pdf).
Een zero-day is een kwetsbaarheid die onbekend is bij de leverancier en actief wordt aangevallen. Aangezien er voor dergelijke beveiligingslekken nog geen veiligheidsupdate beschikbaar is, is de kans dat dergelijke aanvallen slagen veel groter. Vorig jaar maart werd één van de grootste Zuid-Koreaanse banken het doelwit van een dergelijke aanval. De aanval begon met meerdere spear-phishingmails die naar bankmedewerkers werden verstuurd.
De phishingmails kwamen binnen op een virtual machine die bankmedewerkers alleen gebruiken om toegang tot internet te krijgen en die geen toegang tot het interne netwerk heeft. De aanvallers hadden echter een zero-day in de virtual machinesoftware gevonden om toch toegang tot de host-computer te krijgen waarmee het interne netwerk kan worden benaderd.
De virtual machinesoftware beschikte over een functionaliteit om bestanden tussen de host-computer en het gast-systemen te delen. Volgens de fabrikant was deze functie standaard uitgeschakeld, maar die bleek alleen verborgen te zijn. Zodoende konden de aanvallers toch toegang tot de host-computer krijgen. De aanvallers wisten op deze manier twee bankcomputers te infecteren. De aanval werd echter snel gedetecteerd, waardoor er geen grote schade kon worden aangericht.
Anti-virus
De tweede gerichte aanval die de onderzoekers noemden vond plaats in 2015. Hierbij werd er gebruik gemaakt van een zero-day in de anti-virusserver van de bank en een misconfiguratie tussen de geldautomaten en updateserver van de bank. Via de gehackte anti-virusserver werd er toegang tot de updateserver verkregen en wisten de aanvallers meer dan 60 geldautomaten te infecteren. De aanval bleef tot maart 2017 onopgemerkt. In de tussentijd waren de gegevens van 230.000 unieke betaalkaarten buitgemaakt.
Naast de aangevallen banken beschrijven de onderzoekers ook verschillende aanvallen tegen bitcoinbeurzen en een Egyptische bank. De aanvallen zouden door zogeheten "nation state actors" zijn uitgevoerd. "In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten", aldus de onderzoekers in hun conclusie, die verder opmerken dat de aanvallers hun doelwitten uitgebreid bestuderen.
Ik mag aannemen dat het iets professioneler dan VirtualBox was omdat de andere vm de Swift connectie draaide. Ik snap niet dat de Swift connectie op een VM wordt gedraaid, en niet op eigen hardware (misschien zelfs los van het netwerk!).
Xendesktop met Citrix VDI (dus Xen) of VMware. De andere kandidaten vallen af.
(ik ben anoniem 9:42).
kwestie van een cd image uploaden naar het SAN vanuit zo'n Vmware host, koppelen aan een VM, reboot, passwordcrack, screendump, reboot... mogelijk herkent een monitoring systeem 5 minuutjes downtime, maar niet als je gedurende deze actie een andere vm opent die dat ipadres heeft.
daarna de guest-VM van een extra netwerkkaart voorzien in een Vlan dat de hacker zelf aanmaakt op de host, en alle andere VM's op die host deze ook aansmeren met een dhcp-host erbij, waardoor alles een ip krijgt.
vandaaruit spring je over, hack je de rest, en verwijder je alles weer, behalve dat dan alle VM's gehacked zijn, waarna het een hoop werk is om lateraal over te stappen naar de rest van alle VM's.
is een voetnoot over die VDI in de pdf
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Word cyberspecialist bij Defensie
Naast het land, de zee, de lucht en de ruimte is cyberspace het vijfde werkgebied waarin Defensie actief is. Zo kun je bijvoorbeeld aan de slag als big data engineer, app-specialist of data scientist binnen de Joint Sigint Cyber Unit (JSCU) van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?
