Thursday, November 16, 2006

Case Study from SecuriTeam

Everyone loves a case study! Don't we love to read when someone posts what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y responded to an incident? It's great, as it gives us a view into what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are doing. SecuriTeam has not one, but two such posts...well, one post that contains two case studies.

The first is a PDF of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident write-up for a compromise that occurred in July 2006. The second is a follow-up, and both are very interesting.

I'm going to take a process-oriented view of things. Please don't ask me if someone who defaces web pages and knows some PHP code qualifies as a "cyber-terrorist". I don't want to get mixed up in semantics.

This whole thing seems to have started on or about 11 July 2006 with a web page defacement. Evidently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys gained access to a vulnerable system (found via Google) and installed a PHP 'shell'. Page 8 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for a "real-time forensic analysis", due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that not only did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys need to "stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bleeding", but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, who were not only deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own counter-measures, but attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys, as well. What's interesting about this is that on page 8, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention having to battle active attacks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, saying it was a "fight between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response personnel." Oddly, pages 9 - 11 included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12 steps that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR personnel went through, yet nothing was mentioned about having to battle an attack. The document continues into "Attack Methodology" and "Conclusions" with no mention of IR personnel being hammered by attacks from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user-agent found in some web logs included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "SIMBAR", and concluded (with no supporting info) that this meant that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's system was infected with spyware. While I'm not discounting this, I do find it odd that no supporting information was provided. I did a search and found references to adware, but I also found a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIMS game, as well.

Continuing along into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 follow-up report, "SIMBAR" is mentioned again, and this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors seem to believe that this user-agent indicates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same computer was used in multiple attacks. IMHO, this is perhaps dubious at best, particularly if it is indicative of adware...adware can be fairly widespread. Also, beyond that, I'm not sure how significant this information really is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall incident.

Overall, both write-ups seem to indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers used known exploits to gain access to systems, and used relatively known and easily available tools to gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir foothold. It also seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors made several unsupported assumptions. At first cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-ups are interesting read, but when you really try to dig into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and get some meat, IMHO, it just isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

But hey, who am I? What do you think?

Addendum 18 Nov: Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been corresponding posts over on TaoSecurity. I just want to say that I'm not trying to grill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents, nor am I trying to point out every little detail that I think was mishandled...not at all. What I am saying is that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors did a great job, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are things that could have been handled a bit better. Richard Bejtlich mentions "focus and rigor" in one of his recent posts...just because something is done by volunteers, does that mean that quality should suffer?

8 comments:

Anonymous said...

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacker tools to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL password on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no administrator around?

H. Carvey said...

Great comment...what're your thoughts on that?

Anonymous said...

"fight between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response personnel."
Check out Steps 10 and 11.

SIMBAR:
http://vil.nai.com/vil/content/v_131206.htm
http://www.google.com/search?hl=en&lr=&q=SIMBAR&btnG=Search
http://www.google.com/search?hl=en&lr=&q=%22SIMBAR+Enabled%22+spyware+&btnG=Search

The truth is that it doesn't really matter what added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SIMBAR Enabled" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user-agent. The idea is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker user-agent contained a string that helped to pinpoint his traffic in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs. Finding SIMBAR in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second incident may have been coincidence, but once again it helped us to mark cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's activity.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r more it was mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a few computers involved in both incidence. The "Simbar" computer was involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial attack and uploaded some tools in both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidence.

If every thing was known, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any place of assumptions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any thing to investigate.
“There are things known and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are things unknown, and in between are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doors of perception” (Aldous Huxley)

(:

H. Carvey said...

kfir d...

Hey, thanks for dropping by and commenting...

Check out Steps 10 and 11.

I did. In step 10, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors state that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found a user logged in and attempting to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. However, that's it...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r discussion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers/users battling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responders. In fact, step 10 doesn't say anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responders actively battling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys...it just says that a user was logged in and says nothing at all about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responders did with regards to that fact. Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy taunt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responders with messages? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy try to delete things?

The truth is that it doesn't really matter what added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SIMBAR Enabled" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user-agent.

Excellent point. If that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, though, why was it so prominently mentioned in both reports? You could have simply stated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string assisted in log analysis.

BTW...I did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same searches as you did, and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same things. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second search string was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one I used.

IMHO, I think it would've had greater impact in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors really went with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SIMBAR" string assisted with log analysis, and perhaps stayed away from speculative things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remote system was infected with spy- or adware.

If every thing was known, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any place of assumptions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't any thing to investigate.

I tend to agree with your statement in general, but I'm not clear on how it applies to this incident. It seems very clear to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors had a lot that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't know, and a lot that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y investigated. It also seems that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speculation was unnecessary...you even pointed that out yourself.

Again, I do applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts overall, and I thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and effort to write up what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did.

Anonymous said...

I suppose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had management approval to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL password mitigates any liability on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir part. I don't know, just doesn't feel right to me.

They did do a great job, but as you note, not a professional job.

H. Carvey said...

Well, from a forensic perspective, that may not have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best thing to do, but from an operational perspective, it may have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ONLY thing to do!

Anonymous said...

That brings up anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question - is incident response turning into "get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine up ASAP" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of collecting evidence?

H. Carvey said...

No, it's always been that way.