Koreaanse banken gehackt via zero-days in anti-virus en VM
De afgelopen jaren zijn Zuid-Koreaanse banken het doelwit van verschillende gerichte aanvallen geworden, waarbij de aanvallers ook zero-days in anti-virussoftware en virtual machinesoftware gebruikten om de banknetwerken te compromitteren. Dat hebben medewerkers van het Koreaanse Financial Security Institute tijdens de Black Hat Asia beveiligingsconferentie laten weten (pdf).
Een zero-day is een kwetsbaarheid die onbekend is bij de leverancier en actief wordt aangevallen. Aangezien er voor dergelijke beveiligingslekken nog geen veiligheidsupdate beschikbaar is, is de kans dat dergelijke aanvallen slagen veel groter. Vorig jaar maart werd één van de grootste Zuid-Koreaanse banken het doelwit van een dergelijke aanval. De aanval begon met meerdere spear-phishingmails die naar bankmedewerkers werden verstuurd.
De phishingmails kwamen binnen op een virtual machine die bankmedewerkers alleen gebruiken om toegang tot internet te krijgen en die geen toegang tot het interne netwerk heeft. De aanvallers hadden echter een zero-day in de virtual machinesoftware gevonden om toch toegang tot de host-computer te krijgen waarmee het interne netwerk kan worden benaderd.
De virtual machinesoftware beschikte over een functionaliteit om bestanden tussen de host-computer en het gast-systemen te delen. Volgens de fabrikant was deze functie standaard uitgeschakeld, maar die bleek alleen verborgen te zijn. Zodoende konden de aanvallers toch toegang tot de host-computer krijgen. De aanvallers wisten op deze manier twee bankcomputers te infecteren. De aanval werd echter snel gedetecteerd, waardoor er geen grote schade kon worden aangericht.
Anti-virus
De tweede gerichte aanval die de onderzoekers noemden vond plaats in 2015. Hierbij werd er gebruik gemaakt van een zero-day in de anti-virusserver van de bank en een misconfiguratie tussen de geldautomaten en updateserver van de bank. Via de gehackte anti-virusserver werd er toegang tot de updateserver verkregen en wisten de aanvallers meer dan 60 geldautomaten te infecteren. De aanval bleef tot maart 2017 onopgemerkt. In de tussentijd waren de gegevens van 230.000 unieke betaalkaarten buitgemaakt.
Naast de aangevallen banken beschrijven de onderzoekers ook verschillende aanvallen tegen bitcoinbeurzen en een Egyptische bank. De aanvallen zouden door zogeheten "nation state actors" zijn uitgevoerd. "In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten", aldus de onderzoekers in hun conclusie, die verder opmerken dat de aanvallers hun doelwitten uitgebreid bestuderen.
Ik mag aannemen dat het iets professioneler dan VirtualBox was omdat de andere vm de Swift connectie draaide. Ik snap niet dat de Swift connectie op een VM wordt gedraaid, en niet op eigen hardware (misschien zelfs los van het netwerk!).
Xendesktop met Citrix VDI (dus Xen) of VMware. De andere kandidaten vallen af.
(ik ben anoniem 9:42).
kwestie van een cd image uploaden naar het SAN vanuit zo'n Vmware host, koppelen aan een VM, reboot, passwordcrack, screendump, reboot... mogelijk herkent een monitoring systeem 5 minuutjes downtime, maar niet als je gedurende deze actie een andere vm opent die dat ipadres heeft.
daarna de guest-VM van een extra netwerkkaart voorzien in een Vlan dat de hacker zelf aanmaakt op de host, en alle andere VM's op die host deze ook aansmeren met een dhcp-host erbij, waardoor alles een ip krijgt.
vandaaruit spring je over, hack je de rest, en verwijder je alles weer, behalve dat dan alle VM's gehacked zijn, waarna het een hoop werk is om lateraal over te stappen naar de rest van alle VM's.
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?