Wednesday, July 19, 2006

Israeli Incident Response Report

Incident responders from Beyond Security published an interesting report (.pdf) explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir involvement in a recent defacement of an Israeli Web site. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report but was surprised to not see any mention of shutting down access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web site upon discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. There was no question of compromise -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image above shows what happened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web site. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report.

[T]he web site in question was defaced by Team Evil and action had to be taken immediately. There was no time to perform a full forensic investigation. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked organization required was a real-time forensic analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in order to contain damage and respond accordingly, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following operational goals in mind:

1. Stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuing damage being inflicted as soon as possible by kicking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers who were damaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site while analysis was done.

2. Prevent furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r access from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers.

3. Determine what hole cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers used to get in, and seal it.

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals are sequential, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to be done simultaneously to be successful as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers were at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time performing counter-measures and attacking back.

It was a fight between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers who were already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response personnel on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local system administrator.


"No time" for a forensic investigation? Try shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server's switch port. It sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders were active while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team worked:

While examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second web GUI tool we noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was currently a user trying to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. At this stage we no longer had a system administrator present, nor access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked machine. (emphasis in original)

Again, shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch port. Is this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "uptime argument?" Who needs uptime when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public is visiting a defaced Web server?

No wonder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders were active -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders were visiting a potentially hostile Web site:

We soon located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web page... Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site provided anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clue.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims were visiting an intruder's Web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response, that's an easy way to tip off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers that defense is taking place.

Finally, observe how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team finally tried to take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim:

Left with no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alternative and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's approval, we used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders' web GUI tool to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL password and used it to get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forum database and escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 permission of a user under our control to an administrator status (probably like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have done...).

Use an intruder's tool to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder? Wow.

IR is certainly a fluid experience, but I think some basic rules were violated during this scenario. Still, I'm very happy to see Beyond Security share its story. The report itself contains a ton of technical details and I highly recommend everyone read it. It's been a while since I've read anything like it.

6 comments:

Anonymous said...

As far as I undestood report, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team was working online - remotely. So this is an "uptime argument", to not shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch port.

greets

Richard Bejtlich said...

In that case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim sys admin should have implemented a firewall block for all activity except from that of a trusted IP used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response team.

Anonymous said...

I agree with you Richard. I'm not a forensics expert, but I would disconnect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server right away since I have all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session data and full packet captures prior to and during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

It's apparent to me that a lot of forensics training involves some basic common sense and understanding of evidence preservation. It's not as hard as people make it out to be.

Anonymous said...

Although it appears clever to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very tools of an attacker to defeat him, I agree this would most definitely cause a lot of problems later, talk about evidence preservation. Not to mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to have worked in parallel with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders. If this went to court, I guess an opposite lawyer would tear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole case to shreds, considering what even Keith Jones, who did a remarkable job on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UBS case and worked very diligently, did have to face from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense. The UBS case is an excellent example of how high cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standards in courtrooms really are, and how one should approach forensic investigations.

Anonymous said...

I talked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions raised here. They said:
"You are right, but in this case we did not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of shutting anything down or, off".
Also:
"Friend, sorry, but we were under instructions to stop it. No future legal case was to be considred".

Lastly, from Gadi Evron:
"The comments you mention are still correct, but you should note that a lot of conflicting concepts in security are also correct. Non are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "absolute truth". Implementation largely depends on necessity vs. demand".

JW.

Richard Bejtlich said...

Hi John,

Thanks for getting feedback from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties involved!