Um den jüngsten Fall von Computer-Kriminalität, bei dem über die Bezahlsysteme am Point of Sale (PoS) eines großen Einzelhandelsunternehmens Millionen von Kreditkartennummern entwendet wurden, ranken sich noch immer zahlreiche Geheimnisse. Brian Krebs, der stets unverzichtbare Analysen liefert, bietet uns auch hier geeignete Hintergrundinformationen, um fundierte Mutmaßungen anzustellen.
Wie die Analyse des FBI zeigt, besteht Grund zu der Annahme, dass ein Teil der Malware und der verwendeten Techniken bereits aus dem Jahr 2011 stammen oder sie sogar noch älter sind. Die Hacker nutzten eine Sicherheitslücke des PCI IT‑Systems aus, das zum Zeitpunkt des letzten Audits technisch noch regelkonform (also „compliant“) war. Die Attacke richtete sich gezielt auf die Stelle, an der die Magnetstreifen der Kreditkarten beziehungsweise die darauf gespeicherten Daten noch nicht verschlüsselt sind: nämlich das PoS-Gerät selbst. Aus Sicht des FBI sind die weiteren Aussichten nicht gerade rosig: Die Behörde prognostiziert, dass Angriffe dieser Art weiter zunehmen.
Doch wer sich an den klassischen Raubüberfall im Film erinnert, weiß, dass die Verbrecher häufig nicht beim Eindringen in den Tresorraum scheitern, sondern auf der Flucht – daran, beispielsweise, dass Gold, Juwelen, Kunstwerke oder Geld nicht in ein sicheres Versteck transportiert werden können oder die Diebe eine verräterische Spur hinterlassen haben. Wäre der Dateizugriff mithilfe entsprechender Software überwacht worden, hätten wir vermutlich in unserem Fall eine ähnliche Entwicklung gehabt.
Ende Januar veröffentlichte die SecureWorks Counter Threat Unit von Dell einen Bericht, der vorwiegend auf Erfahrungen mit ähnlichen PoS-Exploits und den wenigen öffentlich zugänglichen Informationen zu diesem Problem basiert. Wer sich mehr für die Entwicklerseite interessiert, kann sich den Code des RAM-Scrapers ansehen, der zum Einsammeln der Kreditkartennummern verwendet worden ist. Scraper werden wegen ihrer eher schlichten Struktur in der Regel als letztes Glied der APT-Nahrungskette betrachtet, doch Expertenmeinungen zufolge handelte es sich hier um eine höher entwickelte Variante.
In einem Artikel in der New York Times vom 5. Februar wird erörtert, wie es den Cyberdieben gelingen konnte ins System einzudringen: per Remote-Zugriff über das softwaregesteuerte Heiz‑ und Kühlsystem des Einzelhändlers. Das Opfer gab laut Bericht keine Auskunft darüber, ob Zulieferer verpflichtet waren, eine zweistufige Authentifizierung zu verwenden. Die hätte den Angriff zumindest deutlich erschwert. Möglicherweise erfahren wir hierzu in den nächsten Tagen noch etwas.
Nach dem gelungenen Einbruch, wurde die RAM-Scraper-Malware entweder in einzelne PoS-Geräte eingeschleust oder auf einen zentralen Server, an den die Kreditkarten-Transaktionen zahlreicher PoS-Geräte weitergeleitet wurden. Der Scraper konnte dann seine Berechtigungen und Zugriffsrechte erweitern, indem er die Standard-Anmeldedaten für Administratoren einer anderen Software verwendete, von der die Hacker wussten, dass sie in der Infrastruktur installiert war. Das ist ein guter Anlass daran zu erinnern, dass man derartige Standardeinstellungen stets ändern sollte, wenn man Software von Drittanbietern installiert. Wie wir die Situation einschätzen, hätte man den PoS-Angriff durch diese grundlegende Maßnahme verhindern können – Fehler Nummer zwei.
Ein RAM-Scraper dieser Art funktioniert vermutlich folgendermaßen: Er sammelt einfach eine Liste von Prozessen auf dem PoS-Gerät oder PoS-Server und erhält mittels eines Windows-Systemaufrufs, CreateToolhelp32Snapshot, Einblick in den Heapspeicher der einzelnen Prozesse. Anschließend führt der Scraper eine Textsuche nach den Rohdaten durch, die auf den Magnetstreifen gespeichert sind – die Hacker kannten die technischen Details. Findet die Schadsoftware ein übereinstimmendes Muster, verschlüsselt sie die Zahlen und speichert sie für die spätere Übertragung. Im Grunde auch das noch: simpelste Hacking-Technik.
Die Diebe haben es also geschafft, den Tresor zu knacken. Jetzt geht es darum unentdeckt zu entkommen. Letztendlich wurden Millionen von Kreditkartennummern gestohlen. Und es ist noch immer nicht ganz geklärt, wie das passieren konnte – möglicherweise per HTTP POST oder, wie einige andere meinen, über ausgehende DNS-Pakete. Mit anderen Worten: Ein Tool, das die Netzwerksicherheit überwacht, und dabei nach den üblichen Verdächtigen wie zum Beispiel FTP fahndet, wäre hier vermutlich nicht fündig geworden.
Die Mitarbeiter der SecureWorks Counter Threat Unit nehmen an, dass der RAM-Scraper die Kreditkartennummern in gewissen Abständen in einer Datei gesichert und den entsprechenden Ordner per Fernzugriff an einen anderen, bereits manipulierten Server, angebunden hat.
Da haben wir die dritte verpasste Chance: Hätte der Einzelhändler eine Software zur Dateiüberwachung eingesetzt, wäre ihm vermutlich aufgefallen, dass bestimmte Aktivitäten stark zugenommen haben oder ein anderes, von der Norm abweichendes Muster, aufgetreten ist. Die Cyberdiebe haben schließlich Millionen von Kreditkartennummern in Dateien geschrieben. Derartige Transaktionen wären vermutlich sehr schnell aufgefallen.
Hier sehen wir leider ein vertrautes Schema: ein oder zwei Fehler bei der Authentifizierung, eine Erweiterung der Berechtigungen und nicht ausreichende Erkennungsmechanismen, wie beispielsweise eine Lösung, die Dateisysteme überprüft und bei auffälligen Aktivitäten sofort warnt.
Zu guter Letzt stellt sich noch die Frage, ob das HVAC-System ausgerechnet im selben logischen Netzwerk angesiedelt sein muss wie die PoS-Systeme. Eher nicht.
Hätte der besagte Einzelhändler die oben skizzierten Maßnahmen beherzigt, hätte er den Angriff entweder verhindern oder zumindest deutlich erschweren können. Das gilt auch für andere, ähnlich gelagerte Fälle. Konzentrieren Sie sich aber nicht zu sehr auf Vorkehrungsmaßnahmen, die versagen können. Wir sehen in der Praxis immer wieder: man rechnet besser damit, dass es Angreifern gelingen kann, ins System einzubrechen. Aber auch dann ist es noch möglich Schutzmaßnahmen zu ergreifen.
Dabei hilft es, einfach mal die Perspektive zu wechseln: weg von der Überwachung am Perimeter, dem gewissermaßen allseits bekannten Ein- und Ausgang, hin zu einer Beobachtung der Aktivitäten innerhalb des Gebäudes. In unserem Fall ist das der Blick auf die Metadaten der jeweiligen Dateien.
Gerade wenn es eine Hintertür gibt, von der Sie nichts wussten, kann die Auswertung dieser Daten über Erfolg und Misserfolg entscheiden.
The post Sicherheitstipps: PoS-basierte Angriffe im Einzelhandel verhindern appeared first on Varonis Deutsch.