SlideShare a Scribd company logo

POS Data Breach, analisi di un attacco. Di Enrico Fontan - festival ICT 2015

festival ICT 2016
festival ICT 2016

Negli ultimi anni si è visto un incremento di attacchi ai sistemi di pagamento tramite carta di credito. Se guardiamo ai celebri casi americani come Target (2013-2014) e Home Depot (2014) abbiamo un’infiltrazione di malware tramite un partner verso la rete dei sistemi di pagamento. Una volta infiltrato il target è il sistema di pagamento del punto vendita (POS) dal quale poter estrarre le informazioni relative alle carte di credito dei clienti. Durante il talk vedremo la timeline di un possibile attacco di questo tipo ed il malware coinvolto nell’estrazione dei dati. Analizzeremo quindi le falle sfruttare dall’attacco e le possibili contromisure atte a ridurne il rischio.

Technology
1 of 23
Download to read offline
POS Data Breach Analisi di Un Attacco Enrico Fontan
Riferimenti Linkedin: https://ch.linkedin.com/in/enricofontan Twitter: @erfontan Enrico Fontan Enrico Fontan – Festival ICT, 11 NOV 2015
Home Depot Findings in Payment Data Breach Investigation Atlanta, November 6 2014  Criminals used a third-party vendor’s user name and password to enter the perimeter of Home Depot’s network.These stolen credentials alone did not provide direct access to the company’s point-of-sale devices.  The hackers then acquired elevated rights that allowed them to navigate portions of Home Depot’s network and to deploy unique, custom-built malware on its self-checkout systems in the U.S. and Canada. 56 Million Credit Card record Stolen Enrico Fontan – Festival ICT, 11 NOV 2015
Target Unauthorized access to payment card data Minneapolis, December 19 2013  The unauthorized access may impact guests who made credit or debit card purchases in our U.S. stores from Nov. 27 to Dec. 15, 2013.  We began investigating the incident as soon as we learned of it.We have determined that the information involved in this incident included customer name, credit or debit card number, and the card’s expiration date and CVV. 40 Million Credit Card record Stolen Enrico Fontan – Festival ICT, 11 NOV 2015
SEP Acquisizione Credenziali Partner Fazio Mec. Serv. 12 NOV Intrusione nella rete diTarget 15-28 NOV PrimiTest di infezione POS 30 NOV POS Malware installato globalmente 02 DIC Inizio Esportazione Dati 15 DIC Attaccante perde il controllo della reteTarget 19 DIC Target comunica di aver subito una perdita di 40M di record di Carte di Credito Enrico Fontan – Festival ICT, 11 NOV 2015
Reconnaissance • Acquisizione di informazioni sulla Vittima Weaponization • Preparazione del Payload da inviare alla vittima Delivery • Invio del Payload alla vittima Exploitation • Payload distribuito sulla rete Installation • Prima connessione alla rete Command & Control • Accesso remoto alla rete della vittima Actions & Objectives • Esportazione record carte di credito Enrico Fontan – Festival ICT, 11 NOV 2015 Intrusion Kill Chain
Reconnaissance Acquisizione di informazioni sullaVittima Enrico Fontan – Festival ICT, 11 NOV 2015
Weaponization Preparazione del Payload da inviare alla vittima Enrico Fontan – Festival ICT, 11 NOV 2015
Delivery Invio del Payload alla vittima Enrico Fontan – Festival ICT, 11 NOV 2015
Exploitation Payload distribuito sulla rete Enrico Fontan – Festival ICT, 11 NOV 2015
Installation Prima connessione alla rete Enrico Fontan – Festival ICT, 11 NOV 2015
Command and Control (C2) Accesso remoto alla rete della vittima Enrico Fontan – Festival ICT, 11 NOV 2015
Actions on Objectives Esportazione record carte di credito Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOS RamScraper *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOS Exfiltrator *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOS Dump Server *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
BlackPOS Account *Source: BMC Software, Knowledge Article ID: KA286699 Enrico Fontan – Festival ICT, 11 NOV 2015  Best1_User Account Overview The 'Best1_User' account created by the Perform Installation is used for sending MAPI mail messages and when running Investigate script actions on MicrosoftWindows machines.
FTP Exfiltration Dump Server *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015 Bladelogic Service FTP config
15-28 NOV PrimiTest di infezione POS SEP Acquisizione Credenziali Partner Fazio Mec. Serv. 12 NOV Intrusione nella rete diTarget 19 DIC Target comunica di aver subito una perdita di 40M di record di Carte di Credito Enrico Fontan – Festival ICT, 11 NOV 2015 - Rimozione Malware 30 NOV POS Malware installato globalmente 02 DIC Inizio Esportazione Dati 15 DIC Attaccante perde il controllo della reteTarget - Alert Symantec - Primo Alert FireEye - FireEye generazione ulteriori alert 12 DIC Dipartimento della difesa notificaTarget
Reconnaissance • Acquisizione di informazioni sulla Vittima • Controllo informazioni accessibili via web Weaponization • Preparazione del Payload da inviare alla vittima • Real time anti- malware software upgrade Delivery • Invio del Payload alla vittima • SecurityAwareness • Autenticazione a due fattori Exploitation • Payload distribuito sulla rete • Segmentazione della rete Installation • Prima connessione alla rete • Rimozione default account • White-Listing processi Command & Control • Accesso remoto alla rete della vittima • Firewall Inspection • Firewall egress filtering Actions & Objectives • Esportazione record carte di credito • Analisi comportamenti anomali di Rete. • Correlazione di anomalie nei log Enrico Fontan – Festival ICT, 11 NOV 2015 Intrusion Kill Chain – Cosa fare
Reconnaissance Weaponization Delivery Exploitation Installation Command & Control Actions & Objectives Enrico Fontan – Festival ICT, 11 NOV 2015 Per concludere
Sources Brian Krebs • http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/ Enrico Fontan – Festival ICT, 11 NOV 2015 NUIX • http://www.nuix.com/2014/09/08/blackpos-v2-new-variant-or-different-family HOME Depot • https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf DELL SecureWorks • http://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf
Riferimenti Linkedin: https://ch.linkedin.com/in/enricofontan Twitter: @erfontan Enrico Fontan Enrico Fontan – Festival ICT, 11 NOV 2015

Recommended

Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Consulthinkspa
 
I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)festival ICT 2016
 
Marcacion 4455
Marcacion 4455Marcacion 4455
Marcacion 4455ISS Facility Services
 
AktaionvWhitePaperBlackHat2016
AktaionvWhitePaperBlackHat2016AktaionvWhitePaperBlackHat2016
AktaionvWhitePaperBlackHat2016Rod Soto
 
Krest Facility Services PPT
Krest Facility Services PPT Krest Facility Services PPT
Krest Facility Services PPT Krest Facility Services
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali dalchecco
 
BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!Andrea Draghetti
 

Recommended

Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Consulthinkspa
 
I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)festival ICT 2016
 
Marcacion 4455
Marcacion 4455Marcacion 4455
Marcacion 4455ISS Facility Services
 
AktaionvWhitePaperBlackHat2016
AktaionvWhitePaperBlackHat2016AktaionvWhitePaperBlackHat2016
AktaionvWhitePaperBlackHat2016Rod Soto
 
Krest Facility Services PPT
Krest Facility Services PPT Krest Facility Services PPT
Krest Facility Services PPT Krest Facility Services
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali dalchecco
 
BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!BackBox Linux e SET: Scopriamo il Phishing!
BackBox Linux e SET: Scopriamo il Phishing!Andrea Draghetti
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in ReteVincenzo Calabrò
 
Cybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaCybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaGirl Geek Dinners Milano
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForenseAntonio Notarangelo
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdfAttacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdfHelpRansomware
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdfHelpRansomware
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Par-Tec S.p.A.
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoStudio Fiorenzi Security & Forensics
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...festival ICT 2016
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 

More Related Content

Similar to POS Data Breach, analisi di un attacco. Di Enrico Fontan - festival ICT 2015

Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Cybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaCybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaGirl Geek Dinners Milano
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForenseAntonio Notarangelo
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdfAttacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdfHelpRansomware
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdfHelpRansomware
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Par-Tec S.p.A.
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 

Similar to POS Data Breach, analisi di un attacco. Di Enrico Fontan - festival ICT 2015 (20)

Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Cybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaCybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informatica
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica Forense
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
 
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdfAttacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
Attacco LockBit Ransomware Alla Magistratura Cilena [CASE STUDY].pdf
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -Italiano
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 

More from festival ICT 2016

Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...festival ICT 2016
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015festival ICT 2016
 
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...festival ICT 2016
 
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...festival ICT 2016
 
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...festival ICT 2016
 
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...festival ICT 2016
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015festival ICT 2016
 
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...festival ICT 2016
 
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015festival ICT 2016
 
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015festival ICT 2016
 
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...festival ICT 2016
 
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015festival ICT 2016
 
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...festival ICT 2016
 
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...festival ICT 2016
 
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...festival ICT 2016
 
Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015festival ICT 2016
 
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...festival ICT 2016
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...festival ICT 2016
 
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...festival ICT 2016
 

More from festival ICT 2016 (20)

Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
Migliorare il cash flow della propria azienda e dei propri clienti: i benefic...
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
 
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
Lo Zen e l'arte dell'UX Design Mobile - by Synesthesia - festival ICT 2015
 
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
The Web Advisor: restare vivi e aggiornati nel business digitale - festival I...
 
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
Favorire lo sviluppo di applicazioni native Cloud: lo Smart SaaS Program - by...
 
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
I vantaggi di un’infrastruttura unica nell’erogazione dei servizi IT networke...
 
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...LibreOffice: software libero e formati standard - by LibreItalia - festival I...
LibreOffice: software libero e formati standard - by LibreItalia - festival I...
 
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
Come rendere più collaborative le tue riunioni - by Epson - festival ICT 2015
 
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
Case Study TWT: North Sails ha rivoluzionato il modo di lavorare - by TWT - f...
 
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
Il mio ufficio è sempre con me. E il tuo? - by TWT - festival ICT 2015
 
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
Non adeguatevi al Cloud - by Clouditalia - festival ICT 2015
 
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
Impatto privacy della video analisi nei sistemi di video sorveglianza intelli...
 
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
Web reputation, le verità nascoste dell’identità digitale - festival ICT 2015
 
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
Privacy e non profit online: profilazioni digitali di donatori e aderenti nel...
 
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
L'importanza del controllo nelle operazioni di Data Wiping - Sprint Computer ...
 
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
Il dato è tratto: il lato B della mobilità tra privacy e reati informatici - ...
 
Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015Web e privacy, le nuove regole per i cookies - festival ICT 2015
Web e privacy, le nuove regole per i cookies - festival ICT 2015
 
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
Il paradigma UCaaS: come migliorare i processi di business dell’azienda attra...
 
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution... Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
Nuvole e metallo: Infrastruttura e servizi Cloud based - by Hosting Solution...
 
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
 

POS Data Breach, analisi di un attacco. Di Enrico Fontan - festival ICT 2015

  • 1. POS Data Breach Analisi di Un Attacco Enrico Fontan
  • 3. Home Depot Findings in Payment Data Breach Investigation Atlanta, November 6 2014  Criminals used a third-party vendor’s user name and password to enter the perimeter of Home Depot’s network.These stolen credentials alone did not provide direct access to the company’s point-of-sale devices.  The hackers then acquired elevated rights that allowed them to navigate portions of Home Depot’s network and to deploy unique, custom-built malware on its self-checkout systems in the U.S. and Canada. 56 Million Credit Card record Stolen Enrico Fontan – Festival ICT, 11 NOV 2015
  • 4. Target Unauthorized access to payment card data Minneapolis, December 19 2013  The unauthorized access may impact guests who made credit or debit card purchases in our U.S. stores from Nov. 27 to Dec. 15, 2013.  We began investigating the incident as soon as we learned of it.We have determined that the information involved in this incident included customer name, credit or debit card number, and the card’s expiration date and CVV. 40 Million Credit Card record Stolen Enrico Fontan – Festival ICT, 11 NOV 2015
  • 5. SEP Acquisizione Credenziali Partner Fazio Mec. Serv. 12 NOV Intrusione nella rete diTarget 15-28 NOV PrimiTest di infezione POS 30 NOV POS Malware installato globalmente 02 DIC Inizio Esportazione Dati 15 DIC Attaccante perde il controllo della reteTarget 19 DIC Target comunica di aver subito una perdita di 40M di record di Carte di Credito Enrico Fontan – Festival ICT, 11 NOV 2015
  • 6. Reconnaissance • Acquisizione di informazioni sulla Vittima Weaponization • Preparazione del Payload da inviare alla vittima Delivery • Invio del Payload alla vittima Exploitation • Payload distribuito sulla rete Installation • Prima connessione alla rete Command & Control • Accesso remoto alla rete della vittima Actions & Objectives • Esportazione record carte di credito Enrico Fontan – Festival ICT, 11 NOV 2015 Intrusion Kill Chain
  • 7. Reconnaissance Acquisizione di informazioni sullaVittima Enrico Fontan – Festival ICT, 11 NOV 2015
  • 8. Weaponization Preparazione del Payload da inviare alla vittima Enrico Fontan – Festival ICT, 11 NOV 2015
  • 9. Delivery Invio del Payload alla vittima Enrico Fontan – Festival ICT, 11 NOV 2015
  • 10. Exploitation Payload distribuito sulla rete Enrico Fontan – Festival ICT, 11 NOV 2015
  • 11. Installation Prima connessione alla rete Enrico Fontan – Festival ICT, 11 NOV 2015
  • 12. Command and Control (C2) Accesso remoto alla rete della vittima Enrico Fontan – Festival ICT, 11 NOV 2015
  • 13. Actions on Objectives Esportazione record carte di credito Enrico Fontan – Festival ICT, 11 NOV 2015
  • 14. BlackPOS RamScraper *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
  • 15. BlackPOS Exfiltrator *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
  • 16. BlackPOS Dump Server *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015
  • 17. BlackPOS Account *Source: BMC Software, Knowledge Article ID: KA286699 Enrico Fontan – Festival ICT, 11 NOV 2015  Best1_User Account Overview The 'Best1_User' account created by the Perform Installation is used for sending MAPI mail messages and when running Investigate script actions on MicrosoftWindows machines.
  • 18. FTP Exfiltration Dump Server *Source: Dell SecureWorks Enrico Fontan – Festival ICT, 11 NOV 2015 Bladelogic Service FTP config
  • 19. 15-28 NOV PrimiTest di infezione POS SEP Acquisizione Credenziali Partner Fazio Mec. Serv. 12 NOV Intrusione nella rete diTarget 19 DIC Target comunica di aver subito una perdita di 40M di record di Carte di Credito Enrico Fontan – Festival ICT, 11 NOV 2015 - Rimozione Malware 30 NOV POS Malware installato globalmente 02 DIC Inizio Esportazione Dati 15 DIC Attaccante perde il controllo della reteTarget - Alert Symantec - Primo Alert FireEye - FireEye generazione ulteriori alert 12 DIC Dipartimento della difesa notificaTarget
  • 20. Reconnaissance • Acquisizione di informazioni sulla Vittima • Controllo informazioni accessibili via web Weaponization • Preparazione del Payload da inviare alla vittima • Real time anti- malware software upgrade Delivery • Invio del Payload alla vittima • SecurityAwareness • Autenticazione a due fattori Exploitation • Payload distribuito sulla rete • Segmentazione della rete Installation • Prima connessione alla rete • Rimozione default account • White-Listing processi Command & Control • Accesso remoto alla rete della vittima • Firewall Inspection • Firewall egress filtering Actions & Objectives • Esportazione record carte di credito • Analisi comportamenti anomali di Rete. • Correlazione di anomalie nei log Enrico Fontan – Festival ICT, 11 NOV 2015 Intrusion Kill Chain – Cosa fare
  • 21. Reconnaissance Weaponization Delivery Exploitation Installation Command & Control Actions & Objectives Enrico Fontan – Festival ICT, 11 NOV 2015 Per concludere
  • 22. Sources Brian Krebs • http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/ Enrico Fontan – Festival ICT, 11 NOV 2015 NUIX • http://www.nuix.com/2014/09/08/blackpos-v2-new-variant-or-different-family HOME Depot • https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf DELL SecureWorks • http://krebsonsecurity.com/wp-content/uploads/2014/01/Inside-a-Targeted-Point-of-Sale-Data-Breach.pdf