POS Data BreachAnalisi di Un Attacco

Enrico Fontan

Riferimenti

Linkedin: https://ch.linkedin.com/in/enricofontanTwitter: @erfontan

Enrico Fontan

Enrico Fontan – Festival ICT, 11 NOV 2015

Home Depot Findings in Payment Data Breach Investigation

Atlanta, November 6 2014

Criminals used a third-party vendor’s user name and password to enter the perimeter of Home Depot’s network. These stolen credentials alone did not provide direct access to the company’s point-of-sale devices.

The hackers then acquired elevated rights that allowed them to navigate portions of Home Depot’s network and to deploy unique, custom-built malware on its self-checkout systems in the U.S. and Canada.

56 Million Credit Card record Stolen

Enrico Fontan – Festival ICT, 11 NOV 2015

TargetUnauthorized access to payment card data

Minneapolis, December 19 2013

The unauthorized access may impact guests who made credit or debit card purchases in our U.S. stores from Nov. 27 to Dec. 15, 2013.

We began investigating the incident as soon as we learned of it. We have determined that the information involved in this incident included customer name, credit or debit card number, and the card’s expiration date and CVV.

40 Million Credit Card record Stolen

Enrico Fontan – Festival ICT, 11 NOV 2015

SEPAcquisizione Credenziali Partner Fazio Mec. Serv.

12 NOVIntrusione nella rete di Target

15-28 NOVPrimi Test di infezione POS

30 NOVPOS Malware installato globalmente

02 DICInizio Esportazione Dati

15 DICAttaccante perde il controllo della rete Target

19 DICTarget comunica di aver subito una perdita di 40M di record di Carte di Credito

Enrico Fontan – Festival ICT, 11 NOV 2015

Reconnaissance

• Acquisizione di informazioni sullaVittima

Weaponization

• Preparazione del Payload da inviarealla vittima

Delivery

• Invio del Payload allavittima

Exploitation

• Payload distribuito sulla rete

Installation

• Prima connessione alla rete

Command & Control

• Accesso remoto alla rete della vittima

Actions & Objectives

• Esportazione record carte di credito

Enrico Fontan – Festival ICT, 11 NOV 2015

Intrusion Kill Chain

ReconnaissanceAcquisizione di informazioni sulla Vittima

Enrico Fontan – Festival ICT, 11 NOV 2015

WeaponizationPreparazione del Payload da inviare alla vittima

Enrico Fontan – Festival ICT, 11 NOV 2015

DeliveryInvio del Payload alla vittima

Enrico Fontan – Festival ICT, 11 NOV 2015

Exploitation Payload distribuito sulla rete

Enrico Fontan – Festival ICT, 11 NOV 2015

InstallationPrima connessione alla rete

Enrico Fontan – Festival ICT, 11 NOV 2015

Command and Control (C2) Accesso remoto alla rete della vittima

Enrico Fontan – Festival ICT, 11 NOV 2015

Actions on ObjectivesEsportazione record carte di credito

Enrico Fontan – Festival ICT, 11 NOV 2015

BlackPOSRamScraper

*Source: Dell SecureWorks

Enrico Fontan – Festival ICT, 11 NOV 2015

BlackPOSExfiltrator

*Source: Dell SecureWorks

Enrico Fontan – Festival ICT, 11 NOV 2015

BlackPOSDump Server

*Source: Dell SecureWorks

Enrico Fontan – Festival ICT, 11 NOV 2015

BlackPOSAccount

*Source: BMC Software, Knowledge Article ID: KA286699

Enrico Fontan – Festival ICT, 11 NOV 2015

Best1_User Account Overview

The 'Best1_User' account created by the Perform Installation is used for sending MAPI mail messages and when running Investigate script actions on Microsoft Windows machines.

FTP ExfiltrationDump Server

*Source: Dell SecureWorks

Enrico Fontan – Festival ICT, 11 NOV 2015

Bladelogic Service FTP config

15-28 NOVPrimi Test di infezione POS

SEPAcquisizione Credenziali Partner Fazio Mec. Serv.

12 NOVIntrusione nella rete di Target

19 DICTarget comunica di aver subito una perdita di 40M di record di Carte di Credito

Enrico Fontan – Festival ICT, 11 NOV 2015

- Rimozione Malware

30 NOVPOS Malware installato globalmente

02 DICInizio Esportazione Dati

15 DICAttaccante perde il controllo della rete Target

- Alert Symantec- Primo Alert FireEye

- FireEye generazione ulteriori alert

12 DICDipartimento della difesa notifica Target

Reconnaissance

• Acquisizione di informazioni sullaVittima

• Controllo informazioni accessibili via web

Weaponization

• Preparazione del Payload da inviarealla vittima

• Real time anti-malware software upgrade

Delivery

• Invio del Payload allavittima

• Security Awareness

• Autenticazione a due fattori

Exploitation

• Payload distribuitosulla rete

• Segmentazione della rete

Installation

• Prima connessionealla rete

• Rimozione default account

• White-Listing processi

Command & Control

• Accesso remoto allarete della vittima

• Firewall Inspection

• Firewall egress filtering

Actions & Objectives

• Esportazione record carte di credito

• Analisi comportamenti anomali di Rete.

• Correlazione di anomalie nei log

Enrico Fontan – Festival ICT, 11 NOV 2015

Intrusion Kill Chain –Cosa fare

Reconnaissance Weaponization Delivery Exploitation InstallationCommand &

ControlActions &

Objectives

Enrico Fontan – Festival ICT, 11 NOV 2015

Per concludere

Sources

Brian Krebs

• http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/

Enrico Fontan – Festival ICT, 11 NOV 2015

NUIX• http://www.nuix.com/2014/09/08/blackpos-v2-new-variant-or-different-family

HOME Depot• https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf

DELL SecureWorks• http://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf

Riferimenti

Linkedin: https://ch.linkedin.com/in/enricofontanTwitter: @erfontan

Enrico Fontan

Enrico Fontan – Festival ICT, 11 NOV 2015