Transcription
Vad händer med dina kortuppgifter?2014-03-13 Jonas ElmqvistTrender, intrång och forensiska utredningar
”Payment card data remains one of the easiest types ofdata to convert to cash, and therefore the preferredchoice of criminals.”KONTOKORTSBEDRÄGERI37%10%22 mars2014AV ALLA AMERIKANERHAR UTSATTSAV ALLA SVENSKAR HARUTSATTS”Through 2016, the financialimpact of cybercrime will grow10% per year, due to thecontinuing discovery of newvulnerabilities.”
Hur ser trenden ut?ALLA BRANSCHER70%66%AV ALLA INTRÅNGUPPTÄCKS AV TREDJE PARTAV ALLA INTRÅNG TARMÅNADER ATT UPPTÄCKAÖKNING AV AVANCERADERIKTADE ATTACKERSVART MARKNAD”Hacking as a Service”22 mars2014KREDITKORTSBRANSCHEN1%2013AV ALLA INTRÅNGUPPTÄCKS AV ’HANDLARNA’VISA VARNAR FÖR ÖKNINGAV ATTACKER MOTBETALTERMINALERKÖP OCH SÄLJ AVKORTNUMMER
Svart marknad”the service also offers consultation forhacking into any given Web site, with theprices varying between 1000 to 50,000”ZERO-DAY SÅRBARHETERSTULNA KORTNUMMER22 mars2014
Hur fungerar kreditkortsbranchen? Payment Card Industry (PCI) Regleras av PCI Data Security Standard 12 kravområden, ca 280 kravExempel- Ansvar och roller- Rutiner- Hur miljön ska se ut- Hur kortdata får hanteras22 mars2014
Hur sker en betalning?KUNDAFFÄR/HANDLARE22 mars2014AFFÄR/HANDLARENSBANKKORTNÄTVERKKUNDENS BANK
Card Data Environment (CDE)VANLIGA ATTACKVEKTORERPOINT OF SALE (POS) WIFI Malware Fjärråtkomst (leverantör) Dåliga lösenord Osäkera webbapplikationer Lagring av kortdata i klartextWEB SERVER22 mars2014DATABASE POS Ej uppdaterade system
När och hur görs utredningar?22 mars2014
Common Point of PurchaseMisstänkt stulna kort22 mars2014Köpställen
IT-forensik - metodik22 mars2014
Kund XFORENSIC INVESTIGATION!CASE:VICTIM:#STORES:COUNTRY:START:22 mars2014!CREDIT CARD FRAUD!!KUND X! 50!SOUTHERN EUROPE!!20xx-12-24 12:21:37 01.00!
Steg 1: Incident responseKartlägga?InhämtabevisAnalyseradata22 mars2014
Steg 2: Samla in bevismaterial ”First Responders Toolkit” Verktyg för inhämtning Syfte: inhämta bevis med minimal påverkan Nätverkskomponenter, servrar, klienter, POS Insamling av minne, cache, register22 mars2014 Systeminformation, upptidTidKommandohistorikProcesser som körsInloggade ämtabevisAnalyseradata
Steg 2: Samla in bevismaterial Kopiera hårdiskar, bit-by-bitKartlägga Chain of custody Dokumentation Märkning Säker hanteringInhämtabevisAnalyseradata22 mars2014
Steg 3: Analysera data Samla på sig indikatorer Kända malware (md5)IP-nummerKreditkortsnummerViktiga datumAnalys av minne Analysera processer och trådar Analysera DLLs Analysera nätverksanslutningar22 mars2014KartläggaInhämtabevisAnalyseradata
Steg 3: Analysera data Extrahera filer (.exe och .dll) - md5 lookupKartlägga Kör antivirus-scan på imageTimeline AnalysisInhämtabevis Filsystem, processer Loggar Installerade program Alla händelser läggs i tidsordning22 mars2014Analyseradata
Timeline analysis (exempel)22 mars2014
Resultat?22 mars2014
Resultat Analys av centrala servrar Stora mängder kortdata ’gömd’Ansluter till flera interna servrarLaddar ned och gömmer kortdataAnsluter till Command&Control?Malware installeratpå central serverIntrång imiljön Analys server i affär Analys brandväggsloggarServrar förstaaffären smittad 47 affärersmittadeTyper av malware Sniffer som fångar kortdata Skriver på fil Portscanners Lyssnar på portar Backdörrar Återskapa raderadeAnalys av fler servrarfiler WinRARAnalys av datorer i affärer Proxys MS08-67 Remote access Backdoor installerad 1 aug FTP-verktyg tAnslutningtill RysslandUtredningpåbörjasBörjar skicka utkortdataServer smittadaugustiseptemberoktobernovemberdecember
TargetFORENSIC INVESTIGATION!CASE:VICTIM:#STORES: 1500!COUNTRY:US!START:22 mars2014!CREDIT CARD FRAUD!!TARGET!!2013-12-15!
Target - händelserförloppMajoritetenav POSsmittadeAttack motleverantörIntrång imiljönBlack FridayIntrångetupptäcktBörjar skickaut kortdataInstallation avmalware15/11?22 mars201428/1130/112/1215/12
Malware - ’Black POS’ Fanns att köpa för för 1800 från mars 2013Memory Scraper Memory scraper Sorterar bort kända processer Smittar Windowsbaserade POS Väljer ut rätt processer Styrdes av Command&Control server i miljön Söker efter kortnummer C&C skickade kontinuerligt ut kortdata till olikaplatser via FTP Skriver till fil22 mars2014 Specifika för varje system – svåra atthitta mha signaturbaserade AV
Command & Control (exempel)22 mars2014
Target vs Kund XTARGETKUND XATTACKVEKTOR3:e ör?TYP AV ANGREPPMalwareMemory ScraperTYP AV ANGREPPMalwareNetwork SnifferUTSKICK AVKORTDATACommand&ControlFTPUTSKICK AVKORTDATACommand&ControlSTULETKORTDATA22 mars40 miljonerSTULETKORTDATA22 marsOklart.100 000-tals2014( 70 milj personuppgifter)2014
Sammanfattning Fler avancerade riktade attackerSecure ExperienceJonas Elmqvistjonas.elmqvist@knowit.se 4670-379 22 7422 mars2014 Enklare att utföra attacker Krävs högre säkerhet och det kommer fler angrepp
Frågor?Secure ExperienceJonas Elmqvistjonas.elmqvist@knowit.se 4670-379 22 7422 mars2014
POS Ej uppdaterade system VANLIGA ATTACKVEKTORER DATABASE POINT OF SALE (POS) WEB SERVER . När och hur görs utredningar? 22 mars 2014 . Common Point of Purchase 22 mars 2014 Misstänkt stulna kort . Jonas Elmqvist jonas.elmqvist@knowit.se 4670-379 22 74 22 mars 2014
