Un examen des logiciels malveillants utilisés dans la violation de Target suggère que les attaquants ont pu bénéficier de l’aide d’une fonctionnalité mal sécurisée intégrée à un produit logiciel de gestion informatique largement utilisé qui fonctionnait sur le réseau interne du détaillant.
Comme je l’ai noté dans l’histoire du 15 janvier – Un premier regard sur l’intrusion cible, les logiciels malveillants – les attaquants ont pu infecter les registres des points de vente de Target avec une souche de logiciels malveillants qui a volé les données des cartes de crédit et de débit. Les intrus ont également mis en place un serveur de contrôle au sein du réseau interne de Target qui servait de référentiel central pour les données récupérées à partir de tous les registres infectés.
« ttcopscli3acs » est le nom du partage Windows utilisé par le malware POS planté dans les magasins Target ; le nom d’utilisateur utilisé par le logiciel malveillant pour télécharger les données de carte volées était « Best1_user » ; le mot de passe était « BackupU$r »
Cette analyse a examiné un composant malveillant utilisé dans la violation de cible qui a été téléchargé sur le service d’analyse ThreatExpert de Symantec le 18 décembre, mais qui a ensuite été supprimé (une copie PDF locale de celui-ci est ici). La rédaction de ThreatExpert suggère que le logiciel malveillant était responsable du déplacement des données volées des caisses enregistreuses compromises vers ce référentiel central partagé, qui avait l’adresse interne 10.116.240.31. Le bit « ttcopscli3acs » est le nom de domaine Windows utilisé sur le réseau de Target. Le compte d’utilisateur « Best1_user » et le mot de passe « BackupU$r » ont été utilisés pour se connecter au lecteur partagé (indiqué par le « S : » sous l’en-tête « Type de ressource » dans l’image ci-dessus.
Ce nom de compte « Best1_user » semble étrange pour les attaquants d’avoir choisi au hasard, mais il y a une meilleure explication : ce nom d’utilisateur est le même que celui qui est installé avec une suite logicielle de gestion informatique appelée Assurance des performances pour les serveurs Microsoft. Ce produit, selon son fabricant – Houston, Texas base Logiciel BMC – inclut un compte d’utilisateur de niveau administrateur appelé « Best1_user ».
Cet article de la base de connaissances (PDF) publié par BMC explique que le compte Best1_user est installé par le logiciel pour effectuer des tâches de routine. Cet article stipule que si le compte Best1_user est essentiellement un compte de niveau « système » ou « administrateur » sur la machine hôte, les clients ne doivent pas se préoccuper de ce compte car « il n’est membre d’aucun groupe (pas même les ‘utilisateurs ‘ groupe) et ne peut donc pas être utilisé pour se connecter au système.
« Le seul privilège accordé au compte est la possibilité de s’exécuter en tant que travail par lots », indique le document, indiquant qu’il pourrait être utilisé pour exécuter des programmes s’il est invoqué à partir d’une invite de commande. Voici ma partie préférée :
« Perform Technical Support n’a pas le mot de passe de ce compte et ce mot de passe n’a pas été publié par Perform Development. Connaître le mot de passe du compte ne devrait pas être important car vous ne pouvez pas vous connecter à la machine à l’aide de ce compte. Le mot de passe est connu en interne et utilisé en interne par l’agent Perform pour assumer l’identité du compte « Best1_user ».
J’ai envoyé un ping à BMC pour savoir si le mot de passe fourni dans le malware cible (BackupU$r) est en fait le mot de passe secret du compte Best1_user. L’entreprise est jusqu’à présent restée muette sur cette question.
C’était l’intuition avancée par la Counter Threat Unit (CTU) de Dell SecureWorks dans une analyse qui a été communiquée en privé à certains clients de la société cette semaine.
Relations entre les actifs compromis et contrôlés par l’attaquant. Source : DellSecureworks.
« Les attaquants exfiltrent les données en créant un point de montage pour un partage de fichiers distant et en copiant les données stockées par le composant de grattage de la mémoire vers ce partage », note le document SecureWorks. « Dans la liste précédente montrant le déplacement des données vers un serveur interne, 10.116.240.31 est le serveur intermédiaire sélectionné par les attaquants, et les chercheurs de la CTU pensent que la chaîne « ttcopscli3acs » est le nom de domaine Windows utilisé sur le réseau de Target. Le compte Best1_user semble être associé au composant Performance Assurance du produit Patrol de BMC Software. Selon la documentation de BMC, ce compte est normalement restreint, mais les attaquants peuvent avoir usurpé le contrôle pour faciliter les déplacements latéraux au sein du réseau.”
Selon SecureWorks, un composant du logiciel malveillant s’est installé en tant que service appelé « BladeLogic », un nom de service sans doute conçu pour imiter un autre produit BMC appelé Suite d’automatisation BMC BladeLogic. porte-parole du BCM Anne Duhon a déclaré que les attaquants invoquaient simplement la marque de commerce de BMC pour que le programme malveillant paraisse légitime à l’observateur occasionnel, mais il semble probable qu’au moins certains logiciels BMC fonctionnaient à l’intérieur du réseau de Target, et que les attaquants en étaient bien conscients.
Mise à jour du 30 janvier à 17h48 : BMC vient de publier la déclaration suivante :
Il y a eu plusieurs articles dans la presse spéculant sur la violation de Target. BMC Software n’a reçu aucune information de Target ou des enquêteurs concernant la violation. Dans certains de ces articles, les produits BMC étaient mentionnés de deux manières différentes.
Le premier était une mention d’une référence « bladelogic.exe » dans l’attaque. Le nom exécutable « bladelogic.exe » n’existe dans aucun logiciel BMC légitime. McAfee a publié un avis de sécurité déclarant que: « La référence à » bladelogic « est une méthode d’obscurcissement. Le logiciel malveillant ne compromet ni ne s’intègre à aucun produit BMC de quelque manière que ce soit.
La deuxième référence était à un mot de passe qui a peut-être été utilisé dans le cadre de l’attaque, avec l’implication qu’il s’agissait d’un mot de passe BMC. BMC a confirmé que le mot de passe mentionné dans la presse n’est pas un mot de passe généré par BMC.
À ce stade, rien n’indique que BMC BladeLogic ou BMC Performance Assurance présente une faille de sécurité ou ait été compromis dans le cadre de cette attaque.
Les logiciels malveillants sont un problème pour tous les environnements informatiques. BMC demande à tous nos clients de faire preuve de diligence pour s’assurer que leurs environnements sont sécurisés et protégés.
J’analyse leur déclaration pour signifier que le mot de passe « BackupU$r » référencé dans le malware Target n’est pas le mot de passe secret de leur logiciel. Mais rien dans la déclaration ne semble exclure la possibilité que les attaquants aient exploité un compte d’utilisateur de domaine installé par le logiciel BMC pour aider à exfiltrer les données de la carte du réseau de Target.
Histoire originale :
Selon une source fiable qui utilise principalement des données open source pour garder un œil sur les logiciels et le matériel utilisés dans divers environnements de vente au détail, le logiciel de BMC est utilisé dans de nombreuses grandes chaînes de vente au détail et d’épicerie à travers le pays, y compris Kroger, Safeway, Dépôt à domicile, le club de Sam et Les Entreprises Vonsparmi beaucoup d’autres.
Une copie du rapport SecureWorks est disponible ici (PDF). Il contient une analyse assez détaillée de cela et d’autres parties du logiciel malveillant utilisé dans l’intrusion Target. Ce qu’il déclare d’emblée qu’il n’a pas – et ce que nous n’avons toujours pas entendu de Target – c’est comment les attaquants sont entrés par effraction pour commencer….
COMMENT EST-CE ARRIVÉ?
Les gens à Malcovery (divulgation complète: Malcovery est un annonceur sur ce blog) ont rassemblé un argument convaincant selon lequel la voie du compromis chez Target découlait d’un Attaque par injection SQL. Malcovery note que des techniques qui peuvent être similaires à la violation de Target ont été utilisées par le gang Alberto Gonzalez, comme illustré dans un acte d’accusation contre Vladimir Boire, Alexandre Kalinine, Romain Kotov, Mikhaïl Rytikov, Dimitri Smilianet (voir Hacker Ring a volé 160 millions de cartes de crédit pour plus d’informations sur ces types).
Comme le note ce rapport, Drinkman et ses associés étaient co-conspirateurs de Albert González (célèbre pour la brèche TJX), Damon Toey, et Vladislav Horohorin (Mauvais B). Drinkman et son gang de hackers russes ont été actifs d’au moins août 2005 à au moins juillet 2012 et ont été accusés d’avoir volé des données de NASDAQ, 7 onze, Carrefour, JCPenney, Frères Hannaford, Systèmes de paiement Heartland, Joint humide, Commidée, Dexia Banque, Jet Blue Airways, Dow Jonesune banque non précisée à Abu Dhabi, Euronet, Visa Jordanie, Systèmes de paiement mondiaux, Diners Singapour (une branche régionale de Diner’s Club), et Ingénierie.
CTO et co-fondateur de Malcovery Gary Warner écrit :
« Dans chacun de ces cas, une attaque par injection SQL a entraîné le placement d’un logiciel malveillant sur le réseau et l’exfiltration de cartes de crédit ou d’informations personnelles du réseau. Selon l’acte d’accusation pour ce qui précède, Gonzalez et Toey se rendraient dans les points de vente et feraient des observations sur le logiciel du terminal de point de vente utilisé, après quoi ils transmettraient les informations à l’équipe de pirates qui pénétrerait le réseau, personnaliserait et chargerait le malware et exfiltrer les données volées.
Une copie du rapport Malcovery peut être téléchargée ici.
GRIFFE D’AIGLE, RESCATOR ET LAMPEDUZA
Une publicité pour « Eagle Claw », une base de plus de 2 millions de « dumps » de cartes volés à Target.
Pendant ce temps, le cyberescroc connu sous le nom de Rescator et sa joyeuse bande de voleurs qui vendent des cartes volées lors de la violation de Target continuent de mettre sur le marché d’énormes nouveaux lots de cartes volées. Dans une mise à jour du 21 janvier, le réseau de magasins de cartes de Rescator a mis en vente un autre lot de deux millions de cartes apparemment volées à Target, une collection de cartes que ces escrocs ont surnommée « Eagle Claw ».
En travaillant avec plusieurs banques soucieuses de savoir si ce lot de deux millions de cartes provenait vraiment de Target (ou d’une autre brèche récente comme Neiman Marcus), nous avons pu déterminer que toutes les cartes achetées chez Eagle Claw avaient été utilisées chez Target entre novembre 27 et 15 décembre. La méthode derrière cette recherche était identique à celle utilisée dans mes recherches précédentes sur ce sujet.
Incidemment, quiconque veut comprendre l’ordre hiérarchique hiérarchique de l’équipage de Rescator devrait vérifier cette analyse par un chercheur en sécurité Krypt3iaqui examine le forum sur la cybercriminalité de Lampeduza, dont Rescator est l’un des principaux membres.
Quiconque espère que cette folie de divulgation des violations de la vente au détail se terminera bientôt devrait cesser de retenir son souffle : dans une notification de l’industrie privée datée du 17 janvier (PDF), le FBI a averti que le code de base utilisé dans le logiciel malveillant de point de vente a été vu par le FBI dans des affaires datant remonte au moins à 2011et que ces attaques vont probablement se poursuivre encore un certain temps.
Une analyse de fréquence des incidents de logiciels malveillants POS assemblés par Recorded Future.
« La popularité croissante de ce type de logiciels malveillants, l’accessibilité des logiciels malveillants sur les forums clandestins, l’abordabilité du logiciel et les énormes bénéfices potentiels à tirer des systèmes de points de vente au détail aux États-Unis rendent ce type de cybercriminalité à motivation financière attrayant. à un large éventail d’acteurs », a écrit le FBI. « Nous pensons que la criminalité liée aux logiciels malveillants sur les points de vente continuera de croître à court terme malgré les actions des forces de l’ordre et des entreprises de sécurité pour les atténuer. »
