Negli ultimi anni si è visto un incremento di attacchi ai sistemi di pagamento tramite carta di credito.
Se guardiamo ai celebri casi americani come Target (2013-2014) e Home Depot (2014) abbiamo un’infiltrazione di malware tramite un partner verso la rete dei sistemi di pagamento. Una volta infiltrato il target è il sistema di pagamento del punto vendita (POS) dal quale poter estrarre le informazioni relative alle carte di credito dei clienti.
Durante il talk vedremo la timeline di un possibile attacco di questo tipo ed il malware coinvolto nell’estrazione dei dati.
Analizzeremo quindi le falle sfruttare dall’attacco e le possibili contromisure atte a ridurne il rischio.
3. Home Depot
Findings in Payment Data Breach Investigation
Atlanta, November 6 2014
Criminals used a third-party vendor’s user name and password to enter the perimeter of
Home Depot’s network.These stolen credentials alone did not provide direct access to the
company’s point-of-sale devices.
The hackers then acquired elevated rights that allowed them to navigate portions of
Home Depot’s network and to deploy unique, custom-built malware on its self-checkout
systems in the U.S. and Canada.
56 Million Credit Card record Stolen
Enrico Fontan – Festival ICT, 11 NOV 2015
4. Target
Unauthorized access to payment card data
Minneapolis, December 19 2013
The unauthorized access may impact guests who made credit or debit card purchases in
our U.S. stores from Nov. 27 to Dec. 15, 2013.
We began investigating the incident as soon as we learned of it.We have determined that
the information involved in this incident included customer name, credit or debit card
number, and the card’s expiration date and CVV.
40 Million Credit Card record Stolen
Enrico Fontan – Festival ICT, 11 NOV 2015
5. SEP
Acquisizione
Credenziali Partner
Fazio Mec. Serv.
12 NOV
Intrusione nella
rete diTarget
15-28 NOV
PrimiTest di
infezione POS
30 NOV
POS Malware
installato
globalmente
02 DIC
Inizio
Esportazione
Dati
15 DIC
Attaccante perde
il controllo della
reteTarget
19 DIC
Target comunica di aver
subito una perdita di 40M di
record di Carte di Credito
Enrico Fontan – Festival ICT, 11 NOV 2015
6. Reconnaissance
• Acquisizione di
informazioni sulla
Vittima
Weaponization
• Preparazione del
Payload da inviare
alla vittima
Delivery
• Invio del Payload alla
vittima
Exploitation
• Payload distribuito
sulla rete
Installation
• Prima connessione
alla rete
Command &
Control
• Accesso remoto alla
rete della vittima
Actions &
Objectives
• Esportazione record
carte di credito
Enrico Fontan – Festival ICT, 11 NOV 2015
Intrusion Kill Chain
17. BlackPOS
Account
*Source: BMC Software, Knowledge Article ID: KA286699
Enrico Fontan – Festival ICT, 11 NOV 2015
Best1_User Account Overview
The 'Best1_User' account created by the Perform Installation is used for sending MAPI mail
messages and when running Investigate script actions on MicrosoftWindows machines.
19. 15-28 NOV
PrimiTest di
infezione POS
SEP
Acquisizione
Credenziali Partner
Fazio Mec. Serv.
12 NOV
Intrusione nella
rete diTarget
19 DIC
Target comunica di aver
subito una perdita di 40M di
record di Carte di Credito
Enrico Fontan – Festival ICT, 11 NOV 2015
- Rimozione Malware
30 NOV
POS Malware
installato
globalmente
02 DIC
Inizio
Esportazione
Dati
15 DIC
Attaccante perde
il controllo della
reteTarget
- Alert Symantec
- Primo Alert FireEye
- FireEye generazione
ulteriori alert
12 DIC
Dipartimento
della difesa
notificaTarget
20. Reconnaissance
• Acquisizione di
informazioni sulla
Vittima
• Controllo
informazioni
accessibili via web
Weaponization
• Preparazione del
Payload da inviare
alla vittima
• Real time anti-
malware software
upgrade
Delivery
• Invio del Payload alla
vittima
• SecurityAwareness
• Autenticazione a due
fattori
Exploitation
• Payload distribuito
sulla rete
• Segmentazione della
rete
Installation
• Prima connessione
alla rete
• Rimozione default
account
• White-Listing
processi
Command &
Control
• Accesso remoto alla
rete della vittima
• Firewall Inspection
• Firewall egress
filtering
Actions &
Objectives
• Esportazione record
carte di credito
• Analisi
comportamenti
anomali di Rete.
• Correlazione di
anomalie nei log
Enrico Fontan – Festival ICT, 11 NOV 2015
Intrusion Kill Chain – Cosa fare
21. Reconnaissance Weaponization Delivery Exploitation Installation
Command &
Control
Actions &
Objectives
Enrico Fontan – Festival ICT, 11 NOV 2015
Per concludere
22. Sources
Brian Krebs
• http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/
Enrico Fontan – Festival ICT, 11 NOV 2015
NUIX
• http://www.nuix.com/2014/09/08/blackpos-v2-new-variant-or-different-family
HOME Depot
• https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf
DELL SecureWorks
• http://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf