Friday, November 17, 2006

How do you do that voodoo that you do?

After reading through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam documents, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reading this SANS ISC post, I have to admit, incident response can be extremely complex. This is particularly true if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys catch you with your pants down (figuratively, or hey, even literally). From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam write-ups, we get an insight into how systems are targetted...via Google searches (with books such as Google Hacking from Johnny Long, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's really no big mystery to this) and even freely available vulnerability scanning tools.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecuriTeam documents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision to conduct a live response is documented, as a "full forensic analysis" would take too long...it was evidently determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers hadn't simply defaced a web page, but were actively on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and involved in creating mayhem. This isn't unusual...many organizations decide that affected systems cannot be taken down. However, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Team Evil incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re didn't seem to be any volatile data collected or analyzed. It appears that because a web page was defaced and some directories created, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team's reactions focused solely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application(s).

One thing I took away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second SecuriTeam document was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were...what? Eight attacks?

The post from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Storm Center doesn't seem to make things any easier, does it? After all, not only do multiple downloaders dump a "zoo of malware" (i.e., keylogger, BHOs, even disables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Center) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, but it also reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system's location so it can be tracked via Google Maps. While this is an interesting new capability, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue IMHO is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that's dumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. How do you track it all? If you really don't know a great deal about your systems (hosts and networks) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications that you're running, and you haven't taken any real steps to protect those systems, I'd have to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC recommendation to reinstall is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only option.

If you really think about it, though, maybe this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention. If you've been looking at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various conference presentations over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple of years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been some anti-forensics and "how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst's training against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m" presentations. One way to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is just being greedy. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intention of dumping multiple programs (keyloggers, BHOs, etc.) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is that IF cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin detects any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system...and it's likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system can be easily reinfected.

So, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of things, we've got a denial of service attack...compromise and infect a critical-use system, and it's so important that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sysadmin takes it offline for a reinstall. This also lends itself to persistence...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reinstalled system may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same or additional vulnerabilities, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can reinfect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system once it's back up.

Of course, I can't help but think that this could also be a distraction, a little bit of misdirection...get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff looking one direction while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is siphoning data off of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system.

So I guess I have to concede cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that reinstallation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thing to do. If you (a) don't really know your infrastructure (hosts or network) that well, (b) have no idea where critical (processing or storing sensitive personal information) applications are, (c) haven't really taken any defense-in-depth measures, (d) have no clue what to do, and (e) don't have an IR plan that is supported and endorsed by senior management, I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really isn't any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option.

Thoughts?

4 comments:

Anonymous said...

I do agree. In every investigation one must assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are pieces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passel that you don't know exists.
So one must clean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole system.
But, as you said: "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reinstalled system may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same or additional vulnerabilities, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can reinfect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system once it's back up."

So before each system reinstalling, one must find at least one security hole, and to make sure he close it after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation is over.
This way, hopefully, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end he will close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all.

Leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory a side, it should be mentioned that most Sysadmins (at least those I met) are not really happy of shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir servers. Even more, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really don't like to reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system.
So you can suggest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to reinstall every time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are hacked, but unfortunately not all will listen.
;)

H. Carvey said...

kfir d...

Twice in one night...many thanks!

So before each system reinstalling, one must find at least one security hole, and to make sure he close it after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation is over.
This way, hopefully, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end he will close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all.


Just one? What if it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong one? Or what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability that is found only permits denial of service attacks, and not remote code execution...and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker used allowed remote code execution.

I would agree with your statement if we were to keep all admins and responders at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir current skill level. However, I'm advocating an increase in skill levels, so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins and responders can do more in less time.

Anonymous said...

Subject matter expertise determines procedures! If you don know what you have you don't know where to look.

H. Carvey said...

Exactly!