Nieuws
image

Koreaanse banken gehackt via zero-days in anti-virus en VM

maandag 26 maart 2018, 16:28 door Redactie, 8 reacties

De afgelopen jaren zijn Zuid-Koreaanse banken het doelwit van verschillende gerichte aanvallen geworden, waarbij de aanvallers ook zero-days in anti-virussoftware en virtual machinesoftware gebruikten om de banknetwerken te compromitteren. Dat hebben medewerkers van het Koreaanse Financial Security Institute tijdens de Black Hat Asia beveiligingsconferentie laten weten (pdf).

Een zero-day is een kwetsbaarheid die onbekend is bij de leverancier en actief wordt aangevallen. Aangezien er voor dergelijke beveiligingslekken nog geen veiligheidsupdate beschikbaar is, is de kans dat dergelijke aanvallen slagen veel groter. Vorig jaar maart werd één van de grootste Zuid-Koreaanse banken het doelwit van een dergelijke aanval. De aanval begon met meerdere spear-phishingmails die naar bankmedewerkers werden verstuurd.

De phishingmails kwamen binnen op een virtual machine die bankmedewerkers alleen gebruiken om toegang tot internet te krijgen en die geen toegang tot het interne netwerk heeft. De aanvallers hadden echter een zero-day in de virtual machinesoftware gevonden om toch toegang tot de host-computer te krijgen waarmee het interne netwerk kan worden benaderd.

De virtual machinesoftware beschikte over een functionaliteit om bestanden tussen de host-computer en het gast-systemen te delen. Volgens de fabrikant was deze functie standaard uitgeschakeld, maar die bleek alleen verborgen te zijn. Zodoende konden de aanvallers toch toegang tot de host-computer krijgen. De aanvallers wisten op deze manier twee bankcomputers te infecteren. De aanval werd echter snel gedetecteerd, waardoor er geen grote schade kon worden aangericht.

Anti-virus

De tweede gerichte aanval die de onderzoekers noemden vond plaats in 2015. Hierbij werd er gebruik gemaakt van een zero-day in de anti-virusserver van de bank en een misconfiguratie tussen de geldautomaten en updateserver van de bank. Via de gehackte anti-virusserver werd er toegang tot de updateserver verkregen en wisten de aanvallers meer dan 60 geldautomaten te infecteren. De aanval bleef tot maart 2017 onopgemerkt. In de tussentijd waren de gegevens van 230.000 unieke betaalkaarten buitgemaakt.

Naast de aangevallen banken beschrijven de onderzoekers ook verschillende aanvallen tegen bitcoinbeurzen en een Egyptische bank. De aanvallen zouden door zogeheten "nation state actors" zijn uitgevoerd. "In veel gevallen hebben de aanvallers uitgebreide kennis van het gecompromitteerde systeem, de netwerkomgeving en hun doelwitten. Ze passen hun tools aan en ontwikkelen zero-days voor hun doelwitten", aldus de onderzoekers in hun conclusie, die verder opmerken dat de aanvallers hun doelwitten uitgebreid bestuderen.

Image

Reacties (8)
Reageer met quote
26-03-2018, 17:34 door Anoniem
Van welke leverancier was deze software ?
Reageer met quote
26-03-2018, 22:30 door Anoniem
Wou net hetzelfde zeggen. Dat mogen we weer niet weten ? VM Workstation of Virtualbox ? KVM ?
Reageer met quote
27-03-2018, 00:36 door Anoniem
Door Anoniem: Van welke leverancier was deze software ?
Venom was rond deze tijd, Xen, KVM of VirtualBox zou kunnen.
Reageer met quote
27-03-2018, 09:01 door Anoniem
En welke VM software gebruikte de bank? Wel een belangrijke vraag aangezien het een zero day betreft die ook ingezet kan worden bij andere instanties met dezelfde software in gebruik
Reageer met quote
27-03-2018, 09:42 door Anoniem
Volgens de presentatie "VDI", dat kan nog verwijzen naar VMware of naar Citrix, VirtualBox lijkt me veel minder waarschijnlijk. Lees de presentatie maar.
Reageer met quote
27-03-2018, 10:59 door Anoniem
Door Anoniem: Wou net hetzelfde zeggen. Dat mogen we weer niet weten ? VM Workstation of Virtualbox ? KVM ?

Ik mag aannemen dat het iets professioneler dan VirtualBox was omdat de andere vm de Swift connectie draaide. Ik snap niet dat de Swift connectie op een VM wordt gedraaid, en niet op eigen hardware (misschien zelfs los van het netwerk!).
Xendesktop met Citrix VDI (dus Xen) of VMware. De andere kandidaten vallen af.

(ik ben anoniem 9:42).
Reageer met quote
27-03-2018, 11:10 door Anoniem
vmware 5.1 heeft een guest-to-host exploit probleem, en best veel bedrijven hosten daar hun VM's op.
kwestie van een cd image uploaden naar het SAN vanuit zo'n Vmware host, koppelen aan een VM, reboot, passwordcrack, screendump, reboot... mogelijk herkent een monitoring systeem 5 minuutjes downtime, maar niet als je gedurende deze actie een andere vm opent die dat ipadres heeft.
daarna de guest-VM van een extra netwerkkaart voorzien in een Vlan dat de hacker zelf aanmaakt op de host, en alle andere VM's op die host deze ook aansmeren met een dhcp-host erbij, waardoor alles een ip krijgt.

vandaaruit spring je over, hack je de rest, en verwijder je alles weer, behalve dat dan alle VM's gehacked zijn, waarna het een hoop werk is om lateraal over te stappen naar de rest van alle VM's.
Reageer met quote
27-03-2018, 11:34 door Anoniem
https://blogs.technet.microsoft.com/windows_vpc/2009/10/13/using-a-host-guest-communication-channel-in-windows-virtual-pc/


is een voetnoot over die VDI in de pdf
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search