Historia de cómo los criminales se robaron los datos de TARGET

El 15 de diciembre de 2013, los empleados de TARGET se dieron cuenta que habían sido hackeados, eso ahora es historia antigua, los criminales lograron extraer 70 millones de registros de datos sensibles de los clientes y 40 millones de números de tarjetas de crédito, el impacto directo se calcula en poco más de 400 millones de dólares, si se suma, lo que tienen que pagar los bancos en la re-emisión de tarjetas, lo que tiene que pagar TARGET en adecuaciones tecnológicas y otros gastos y lo que ganaron los criminales por la venta de la información robada, el impacto global se estima en alrededor de 1.000 millones de dólares.

Pero la gran pregunta que queda en el aire es ¿Como lo hicieron? Brian Krebs, le estuvo haciendo un seguimiento muy de cerca a este incidente y publicó varios artículos al respecto, sin embargo Thor Olavsrud publicó un excelente artículo en la revista CIO basado en un reporte publicado por la firma especializada en seguridad del Directorio Activo AORATO llamado: “La historia no contada del ataque a TARGET”, que detalla los 11 pasos que siguieron los criminales para hacerse con dicha información, los cuales voy a resumir aquí.

Paso 1 – Instalación de malware y robo de credenciales

Los criminales infectaron con el troyano CITADEL computadoras de un proveedor de servicios de refrigeración de TARGET. Robaron credenciales utilizadas por el proveedor para conectarse a la extranet de TARGET.

Paso 2 – Uso de credenciales robadas

Los criminales se conectaron a la extranet de TARGET usando las credenciales robadas.

Paso 3 – Explotar vulnerabilidades

Los criminales identificaron una funcionalidad de la extranet de TARGET que permitía la carga remota de archivos y la usaron a su favor, al no existir una validación del lado del servidor sobre el tipo de archivos y el contenido de los mismos, pudieron cargar un archivo que les dió acceso a una interfaz de comando de forma remota.

Paso 4 – Búsqueda de objetivos

Utilizando el acceso a línea de comandos, realizaron un reconocimiento interno de la red, detectaron el directorio activo y comenzaron a realizar consultas para extraer información valiosa sobre la empresa, como por ejemplo: nombres de usuarios, equipos y grupos. Su misión era identificar equipos valiosos, como por ejemplo servidores de bases de datos.

Paso 5 – Robo de credenciales de administrador de dominio

Los criminales utilizaron la técnica conocida como pass-the-hash, para hacerse del token utilizado por el administrador de dominios para entrar al Directorio Activo.

Paso 6 – Creación de usuario con privilegios de administrador

Con el token obtenido en el paso anterior los criminales se crearon su propio usuario con privilegios de administrador, con eso se garantizan su persistencia, ya que si el usuario original cambia su clave, pueden perder (temporalmente) el acceso.

Paso 7 – Propagación del ataque

Con la información obtenida en el paso 4 y las credenciales obtenidas en el paso 6 los criminales pudieron ejecutar los ataques para obtener la información deseada.

Paso 8 – Extracción de datos sensibles (no tarjetas de crédito)

Usando herramientas propias de la bases de datos, lograron extraer 70 millones de registros de con información sensible de los clientes (nombres, direcciones, teléfonos), dicha información no incluía los números de tarjetas de crédito, porque TARGET estaba en cumplimiento de la norma PCI-DSS.

Paso 9 – Instalar malware en los puntos de venta

Una vez que se dieron cuenta de que la información de las tarjetas de crédito no estaban en las bases de datos, los criminales se dieron a la tarea de instalar malware especializado en los puntos de venta. Para eso utilizaron el troyano conocido como Kaptoxa, este troyano tiene la habilidad de buscar la información en la memoria del equipo infectado y grabar su propio archivo.

Paso 10 – Mover los archivos a otro servidor

Usando herramientas propias del sistema operativo y las credenciales de administrador que ya poseían, pudieron mover los archivos con la información robada hacia otro servidor desde el cual podrían hacer FTP.

Paso 11 – Extraer los archivos via FTP

Una vez que los archivos estaban disponibles, utilizaron el cliente FTP, para conectarse a servidores externos controlados por los delincuentes donde copiaron la información robada.

Herramientas utilizadas

Es de hacer notar que con las únicas excepciones del WebShell (php), del troyano CITADEL y del troyano Kaptoxa, la mayoría de las herramientas utilizadas por los delincuentes son herramientas legítimas, que por lo general son utilizadas de forma rutinaria por administradores de bases de datos y/o de sistemas, la lista completa de las herramientas las pueden encontrar en el informe de AORATO.

Recomendaciones

  1. Limitar el uso de los privilegios de administrador en usuarios y aplicaciones.
  2. Monitorear el uso de los privilegios de administrador
  3. No usar NTLM y/o LM hash como método de password hashing, ya que es susceptible a los ataques pass-the-hash.
  4. Buscar de forma periódica usuarios desconocidos en los controladores de dominio y en otros servidores, preferiblemente monitorear el proceso de creación de usuarios.
  5. Deshabilitar el uso de acceso a escritorio remoto (RDP) donde se pueda y monitorear su uso o activación.
  6. Usar, donde sea posible mecanismos de autenticación de doble factor.
  7. Monitorear, el uso excesivo de consultas LDAP.
  8. Aplique técnicas de listas blancas en servidores sensibles y monitorear cambios en dichas listas.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s