Re: [uanog] New virus attack

а всем из-за того, что рукожопы из медка : а) не верифицируют апдейты тем же PGP; б) запускают софт от админа. Ну а если вспомнить, что нтелект-сервис это российская компания, то все становится еще интереснее. 2017-07-04 12:13 GMT+03:00 Vladimir Sharun :

Привет,

Это гипотезы, которые объясняют позицию Медка (у нас не было этого обновления на серверах) и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с валидного ip.

Учитывая, что логи прокси пострадавшего third-party офиса у меня есть на руках и они, мягко говоря, удивительные. Похоже что тот, кто делал payload хорошо под микроскопом рассмотрел дыру в Медке, которая позволяет запустить нужный payload через дыру.

Этот хак полезен тем, что он вскрывает горы проблем в безопасности на всех уровнях, начиная с L2/L3 и заканчивая уровнем приложения. Да, распространение апдейтов через третьих лиц по какой-то сложной процедуре сделало бы практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не получится выложить на него подписанные ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это проверяет.

В то же самое время методы - wccp/перехват ip с последующим селективным проксированием на оригинал (или без него) легкодостижимы при наличии доступа к сетевому оборудованию оператора.

Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ?

В случае, если вышеописанное правда и сеть оператора Медка проблемная, то проблема не устранена до сих пор и хрен его знает, что еще могло быть перехвачено/перенаправлено даже сейчас.

Вот пока писал, придумал, что можно через создание ecmp group сделать такой же полу-перехват - работает по-моему вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так же, а трафик будет per session делиться между неск. серверами.

И это я, без сетевого образования. Представляю что может нафантазировать профильный специалист.

4 липня 2017, 11:26:34, від "Mike Petrusha" < mp@disan.net >:

И где расположен такой каталист, через к-рый все скачали себе вирус? В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус в обновление, кажется гораздо более правдоподобным.

-- Mike

2017-07-03 19:16 GMT+02:00 Vladimir Sharun :

...

Привет,

Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.

11 лет назад я сталкивался именно с таким сценарием.

3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >:

Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"?

На BGPlay левые маршруты видны?

-- Mike

On 3 Jul 2017 18:52, "Vladimir Sharun" wrote:

Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы. Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино: https://youtu.be/WEYOJ3d8EnU?t=1h2m24s

27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/