И где расположен такой каталист, через к-рый все скачали себе вирус? В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус в обновление, кажется гораздо более правдоподобным. -- Mike 2017-07-03 19:16 GMT+02:00 Vladimir Sharun :

Привет,

Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.

11 лет назад я сталкивался именно с таким сценарием.

3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >:

Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"?

На BGPlay левые маршруты видны?

-- Mike

On 3 Jul 2017 18:52, "Vladimir Sharun" wrote:

Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы. Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино: https://youtu.be/WEYOJ3d8EnU?t=1h2m24s

27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Tue, Jul 04, 2017 at 11:30:13, alex wrote about "Re: [uanog] New virus attack":

зачем обьяснять злым умыслом обыкновенный пиздоватизм и недбалiсть ? :)

просто какой-то му.... который пересобирал в очередной раз сборку медка, не проверился антивирусом, и "вкомпилил" в обновление все свои маилвари и вируса, которые были в его рабочем компе.

Все просто :)

Тогда откуда в рабочем компе сборщика вирус, которого ещё не было нигде в живом виде? Не подходит такая идея, проникновение нового зверя на раздачу могло быть только намеренным. -netch-

Александр Васильевич, Вы говорите в формате "был", который подразумевает знание. Вы не используете "гипотезные"  обороты речи, например "я думаю, что вирус был". Тем самым указываете, что ЗНАЕТЕ, у Вас есть объективные подтвержения, что вирус был в спящем виде. Где они ? Не гипотезы, а объективные подтверждения. Я использую "внешне произошедшее напоминает", гипотезный оборот, а не "это было". Между обвинением и гипотезами - смысловая пропасть. 4 липня 2017, 11:40:07, від "Alexander V Soroka" < alex@euro.net.ua >: сам вирус был в спящем виде распространен задолго до атаки. Я сам в спаме регулярно видел попытки мне прислать всякие "от налоговой" нашей сообщения и прочий хлам.

Hi! И оно теперь не работает? Пользователи не жалуются? -- Mike 2017-07-04 15:09 GMT+02:00 Vasiliy P. Melnik :

Это сегодня нод, медок установле 188,и на него установлен апдейт 189

Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь 04.07.2017 11:56:27;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = D:\medoc\14312364-2810\ZvitPublishedObjects.dll;модифицированный MSIL/TeleDoor.A троянская программа;очищен удалением (после следующего перезапуска);;;3567434E2E49358E8210674641A20B147E0BD23C;29.06.2017 22:50:32

Tue, Jul 04, 2017 at 11:40:01, alex wrote about "Re: [uanog] New virus attack":

...

...

просто какой-то му.... который пересобирал в очередной раз сборку медка, не проверился антивирусом, и "вкомпилил" в обновление все свои маилвари и вируса, которые были в его рабочем компе.

Все просто :)

VN> Тогда откуда в рабочем компе сборщика вирус, которого ещё не было VN> нигде в живом виде?

Читайте статьи :)

URL?

сам вирус был в спящем виде распространен задолго до атаки.

И кто его видел (именно эту версию) в спящем виде, и где? И почему оно тогда вырвалось только из одного источника, зато сразу на многих? Если бы он пошёл раньше, он бы и распространялся раньше, и жертвы были бы.

Я сам в спаме регулярно видел попытки мне прислать всякие "от налоговой" нашей сообщения и прочий хлам.

Речь именно про этот вирус. Вы его видели? Вам его присылали? -netch-

Hi!

MP> В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус MP> в обновление, кажется гораздо более правдоподобным. зачем обьяснять злым умыслом [censored] просто какой-то му.... который пересобирал в очередной раз сборку медка, не проверился антивирусом, и "вкомпилил" в обновление все свои маилвари и вируса, которые были в его рабочем компе.

Я не вижу злого умысла владельца фирмы в том, что к нему на сервер кто-то залез и добавил вирус в обновление. Сообщений про способности этого вируса встраиваться в существующие программы или документы я не видел. "Случайно вкомпилировать" одну программу в другую тоже "не бывает". -- Mike

В этих ваших и нтернетах поднабросили. Думаю, тоже без злого умысла. Вскрытия пациента ради. https://wvusoldier.wordpress.com/2017/07/03/notpetya-so-easy-anyone-could-do... 2017-07-04 14:54 GMT+03:00 Valentin Nechayev :

Tue, Jul 04, 2017 at 12:00:06, mp wrote about "Re: [uanog] New virus attack":

...

...

зачем обьяснять злым умыслом [censored] просто какой-то му.... который пересобирал в очередной раз сборку медка, не проверился антивирусом, и "вкомпилил" в обновление все свои маилвари и вируса, которые были в его рабочем компе.

Я не вижу злого умысла владельца фирмы в том, что к нему на сервер кто-то залез и добавил вирус в обновление.

Злой умысел - может, и нет. Халатность и наплевательство на качество и защиту - да.

-netch- _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- wbr, Alex

А что за антивирус ?? On 04.07.17 18:24, Vasiliy P. Melnik wrote:

Кто поднял медок всем привет - я так понимаю после ребута диск пошифруется

C:\medoc\03359658\ZvitPublishedObjects.dlla variant of MSIL/TeleDoor.A trojancleaned by deleting C:\Program Files\KMSpico\AutoPico.exea variant of MSIL/HackTool.IdleKMS.E potentially unsafe applicationcleaned by deleting C:\Program Files\KMSpico\KMSELDI.exeMSIL/HackTool.IdleKMS.I potentially unsafe applicationcleaned by deleting C:\Program Files\KMSpico\Service_KMS.exea variant of MSIL/HackTool.IdleKMS.E potentially unsafe applicationcleaned by deleting (after the next restart) C:\Windows\SECOH-QAD.dllWin64/HackKMS.D potentially unsafe applicationcleaned by deleting C:\Windows\SECOH-QAD.exeWin64/HackKMS.C potentially unsafe applicationcleaned by deleting ${DisksMBR}Win32/Diskcoder.C trojanunable to clean

Плюс информация к размышлению, что называется. история ZvitPublishedObjects.dll, нод антивирус детектит трояна как MSIL/TeleDoor.A 20170414 - чисто 20170415 - модификация библиотеки, вирус детектится 20170518 - чисто 20170622 - модификация библиотеки, вирус детектится Я пропустил модификации файла, которые не приводили к изменению поведения антивируса - то есть были модификации как затрояненой библиотеки, так и чистой. ХЗ какие из этого делать выводы 4 июля 2017 г., 22:12 пользователь Vasiliy P. Melnik написал:

А что за антивирус ??

...

Да черт его знает.

Машина с ${DisksMBR} Win32/Diskcoder.C trojan загружается, бутнулся с установочного диска и восстановил мбр. После загрузки проверил тем же самым esetonlinescanner_enu-ом - уже на мбр не ругается.

З.Ы. на клиентских машинах длл-ка ZvitPublishedObjects.dll отсутствует.

Привет, Это перевод позавчерашней статьи ESET'а. Вчерашняя статья от Cisco указывает что там еще и root был из Прибалтики, а также каким образом "их подставили" - через альтерацию nginx.conf с проксированием на виртуалку в OVH. Я имел возможность общаться с технической верхушкой компании на прошлой неделе и на этой и могу сказать что изъятие серверов и полная остановка деятельности Интеллект Сервиса - это лучшее на текущем моменте. Для меня непонятно, почему центр сертификации Медка еще не забанили - это же очевидно, что безопасность рутового ключа при таком подходе сильно под вопросом. 6 липня 2017, 08:46:12, від "Valentin Nechayev" < netch@netch.kiev.ua >: Разбор от западников, общий вывод: у троянеров был доступ к исходникам https://geektimes.ru/post/290779/

Привет, http://blog.talosintelligence.com/2017/07/the-medoc-connection.html Вчера тут уже постили ее. Забанить центр сертификации - хороший вопрос. Пользователи - врядли, бухгалтера до сих пор верят, что Медок починят, а данные можно будет расшифровать.  Я думаю что должно быть что-то типа revocation process, без него такие схемы с центрами сертификации не создаются (окей, не должны). И отзыв сертификата не только клиентского, но и корневого. 6 липня 2017, 09:22:09, від "Valentin Nechayev" < netch@netch.kiev.ua >: hi, Thu, Jul 06, 2017 at 09:05:44, vladimir.sharun wrote about "Re: [uanog] New virus attack":

Это перевод позавчерашней статьи ESET'а. Вчерашняя статья от Cisco указывает что там еще и root был из Прибалтики, а также каким образом "их подставили" - через альтерацию nginx.conf с проксированием на виртуалку в OVH.

Ты бы сразу и URL давал (на ту вчерашнюю от Cisco). Тут хорошая коллекция собирается в истории рассылки :)

Для меня непонятно, почему центр сертификации Медка еще не забанили - это же очевидно, что безопасность рутового ключа при таком подходе сильно под вопросом.

А кто это может сделать, кроме самих клиентов? -netch-

Hi,

Я имел возможность общаться с технической верхушкой компании на прошлой неделе и на этой и могу сказать что изъятие серверов и полная остановка деятельности Интеллект Сервиса - это лучшее на текущем моменте.

Т.е. на прошлой недели от верхушки был "инсайд", что у них ничего нет, и это везде каталисты поломали и "о-ла-ла", а теперь, оказывается, хорошо, что их "спасли от взбесившейся шубы в шкафу у Мюнхаузена". Вот прямо стояли у них сервера и рассылали вирусы, и они ничего не могли с этим поделать. Полиция спасла, фух. Учитывая детали реализации, трудно представить, что делалось это кем-то извне, а не одним из текущих сотрудников. Учитывая реакцию "верхушки" и осведомлённость поддержки про "отключите антивирус", велика вероятность, что сотрудник был не один, и все обо всём знали. Но возможно, что что-то пошло не так. Backdoor был давно и через него можно было делать что угодно с серверами интересующих целей (на основе идентификации по тем же EDRPOU). И зашифровать, возможно, тоже собирались кого-то конкретного. И могли в этом промахнуться - не то условие в if, не та версия update-сервера, и т.п. В результате засветили всю схему. А раз полиция вовремя не пришла - возможно тоже понимали изначально, в чём причина. "А может быть, всё было наоборот?" (C) мультик -- Mike

Hi! И то, и другое - догадки. За 96 часов к приезду специалистов можно было каких хочешь логов написать. На http://blog.talosintelligence.com/2017/07/the-medoc-connection.html тоже заметили, что "the actor in question burned a significant capability in this attack. They have now compromised both their backdoor in the M.E.Doc software and their ability to manipulate the server configuration in the update server. In short, the actor has given up the ability to deliver arbitrary code to the 80% of UA businesses that use M.E.Doc as their accounting software..." Это выглядит как баг со стороны вирусописателей. Про эту же статью - непонятно, откуда известно, что "... that the server had been wiped the same day at 7:46 PM UTC... using dd if=/dev/zero". Где это было найдено? И если хостер поделился с ними этим, почему не поделился дальнейшей цепочкой? Потом, я так понимаю, что нашли на сайте web-shell модуль, но в 27-го заходили не через него, а через дырку в ftp-чём-то и то не с первого раза. И это при том, что доступ ко всей системе был начиная с апреля. Т.е. с апреля кто-то регулярно получал исходники, элегантно вписывал туда backdoor, раздавал эту версию всем (Тоже через L7 hijack, или просто подменяя бинарник на обычном сервере? Эти версии с backdoor есть на серверах MeDoc? А код в исходниках?), а 27-го числа не мог зайти нормально? Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то. -- Mike

Я делал всё что мог на основании информации, которую мне давали. Выводы были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не выявлен и может находиться на сети, а не прямо на серверах. Также я оказался прав про перехват ip, только это не на L2/L3 было, а на L7 - запросы проксировались.

On Thu, Jul 06, 2017 at 11:48:21AM +0300, Vladimir Sharun wrote:

Привет,

Интеллект Сервис узнавал что у них на серверах происходит из сообщений в СМИ и то с запозданием. Есть еще вопросы технического уровня компании ? "Включить дурака" это называется. Единственная, ИМХО, возможность не сесть, если начнут копать. Иначе - откупаться от тюряги дорого будет, а сидеть - плохо.

Вот такого же  качества инсайд и у меня был. Но кто об этом знал - есть какой-то инсайд, мы его крутим умозрительно, он внешне не противоречит имеющейся информации и из него строятся правдоподобные гипотезы и ответы на широкие вопросы: можно ли качать медок вообще (нельзя), можно ли его использовать вообще - осталось неотвеченным. Качать - можно, запускать - нельзя :).

Если прям совсем не терпится - берем комп с 3-4Ж модемом, инсталим винду, заливаем нужные данные, отключаемся от сети, сетапим медок, сдаём отчёты, стираем диск, ставим винду (ну или образ накатываем), и т.д. по кругу :)))

Я был уверен, что  это не дезинформация, потому что их бы потом на костёр за нее, т.е. это, юридически, "искреннее заблуждение". Но и это было уже что-то.

Я одно не понимаю - почему гос машина вся такая тормознутая, что как до жирафа догодит? Да на следующий день после "источником заражения стал медок" должны были притопать люди в форме и скопировать все сервера или конфисковать/опечатать, если нет средств снять копию. -- Best regards, Paul Arakelyan.

Hi!

...

За 96 часов к приезду специалистов можно было каких хочешь логов написать. Не совсем - реалистичность и непротиворечивость обеспечить бывает непросто.

Её и нет.

...

Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то. Почему ерунда - вчерась киевэнерго склеило ласты снова

И какая тут непротиворечивая причина? После чудесного сотрудничания с Cisco все дырки остались открыты?

Я вообще сразу писал - к ним в гости маски шоу должно сходить. Логично же - это ведь действительно безопасность всей страны,

Вообще, получился теракт. Разрушения по всей стране. Разрушения, конечно, электронные, но ущерб настоящий. Если бы ещё кто-то ответственность на себя взял... -- Mike

Привет, Как подтверждение, саппорт при проблемах шлюза налоговой спрашивал, через какой ящик отправляете и это было так: - у меня gmail - а, это у них там что-то тупит, попробуйте укрнет презваниваем - у меня укрнет - а, это вечно глючащий укрнет, попробуйте гмейл При том, что из нескольких AS коннект к SMTP налоговой не приводил к "220 ESMTP". 6 липня 2017, 11:36:38, від "Valentin Nechayev" < netch@netch.kiev.ua >: Thu, Jul 06, 2017 at 09:36:18, mp wrote about "Re: [uanog] New virus attack":

Учитывая реакцию "верхушки" и осведомлённость поддержки про "отключите антивирус", велика вероятность, что сотрудник был не один, и все обо всём знали.

"Отключите антивирус", учитывая качество написания в целом и проблемы тех же антивирусов, это универсальная реакция техподдержки всего-чего-угодно-на-Windows на любую проблему, вторая по счёту, после первой - "Перезагрузите ваш компьютер". Так что это ещё не аргумент.

On Jul 6, 2017, at 10:36, Mike Petrusha wrote:

Hi!

Hi,

[skip]

Учитывая детали реализации, трудно представить, что делалось это кем-то извне, а не одним из текущих сотрудников.

Учитывая реакцию "верхушки" и осведомлённость поддержки про "отключите антивирус", велика вероятность, что сотрудник был не один, и все обо всём знали.

А вирус в обновления вставляли коллективно бросая кубик? :) Не совсем понятно присутствие backdoor только в некоторых версиях, согласно статье, перевод которой был на geektimes.

Но возможно, что что-то пошло не так. Backdoor был давно и через него можно было делать что угодно с серверами интересующих целей (на основе идентификации по тем же EDRPOU). И зашифровать, возможно, тоже собирались кого-то конкретного. И могли в этом промахнуться - не то условие в if, не та версия update-сервера, и т.п. В результате засветили всю схему.

А раз полиция вовремя не пришла - возможно тоже понимали изначально, в чём причина.

"А может быть, всё было наоборот?" (C) мультик

-- Mike _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Taras Heychenko tasic@academ.kiev.ua

On Tue, Jul 04, 2017 at 11:30:13AM +0300, Alexander V Soroka wrote:

Привет !

Tuesday, July 4, 2017, 11:26:32 AM, Mike Petrusha mp@disan.net you wrote: MP> В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус MP> в обновление, кажется гораздо более правдоподобным.

зачем обьяснять злым умыслом обыкновенный пиздоватизм и недбалiсть ? :)

просто какой-то му.... который пересобирал в очередной раз сборку медка, не проверился антивирусом, и "вкомпилил" в обновление все свои маилвари и вируса, которые были в его рабочем компе.

А у нас шо, нет статьи про "злочинну недбалість, що призвела до матеріальних збитків у особливо великому обсязі" ? -- Best regards, Paul Arakelyan.

а всем из-за того, что рукожопы из медка : а) не верифицируют апдейты тем же PGP; б) запускают софт от админа. Ну а если вспомнить, что нтелект-сервис это российская компания, то все становится еще интереснее. 2017-07-04 12:13 GMT+03:00 Vladimir Sharun :

Привет,

Это гипотезы, которые объясняют позицию Медка (у нас не было этого обновления на серверах) и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с валидного ip.

Учитывая, что логи прокси пострадавшего third-party офиса у меня есть на руках и они, мягко говоря, удивительные. Похоже что тот, кто делал payload хорошо под микроскопом рассмотрел дыру в Медке, которая позволяет запустить нужный payload через дыру.

Этот хак полезен тем, что он вскрывает горы проблем в безопасности на всех уровнях, начиная с L2/L3 и заканчивая уровнем приложения. Да, распространение апдейтов через третьих лиц по какой-то сложной процедуре сделало бы практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не получится выложить на него подписанные ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это проверяет.

В то же самое время методы - wccp/перехват ip с последующим селективным проксированием на оригинал (или без него) легкодостижимы при наличии доступа к сетевому оборудованию оператора.

Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ?

В случае, если вышеописанное правда и сеть оператора Медка проблемная, то проблема не устранена до сих пор и хрен его знает, что еще могло быть перехвачено/перенаправлено даже сейчас.

Вот пока писал, придумал, что можно через создание ecmp group сделать такой же полу-перехват - работает по-моему вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так же, а трафик будет per session делиться между неск. серверами.

И это я, без сетевого образования. Представляю что может нафантазировать профильный специалист.

4 липня 2017, 11:26:34, від "Mike Petrusha" < mp@disan.net >:

И где расположен такой каталист, через к-рый все скачали себе вирус? В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус в обновление, кажется гораздо более правдоподобным.

-- Mike

2017-07-03 19:16 GMT+02:00 Vladimir Sharun :

...

Привет,

Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.

11 лет назад я сталкивался именно с таким сценарием.

3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >:

Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?

Или это новости с самого оригинального сервера "тут ничено не было"?

На BGPlay левые маршруты видны?

-- Mike

On 3 Jul 2017 18:52, "Vladimir Sharun" wrote:

Всем привет,

Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы. Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.

Вспомнилось кино: https://youtu.be/WEYOJ3d8EnU?t=1h2m24s

27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >:

хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/

у моих клиентов (работодателей?) есть сервер медок. Да, с антивирусами не дружит. Да, работает от админа и никак по другому. Нтеллект-сервис был основан товарищем Линником совместно с россиянами. Потом россиян оттуда как бы выпилили и официально это полностью украинская компания, но и Яндекс тоже был голландской компанией, если что. У ДФС есть своя разработка, которая называется ЕКПП (електронный кабінет платника податків) , но там еще не все формы отчетности и работает оно (сюрприз!) через шлюз медка. Шлюз медка это гребанная винда и софт на дот нете. 2017-07-04 12:28 GMT+03:00 Volodymyr Litovka :

On 7/4/17 12:25 PM, Pavlo Narozhnyy wrote:

а всем из-за того, что рукожопы из медка :

а) не верифицируют апдейты тем же PGP; б) запускают софт от админа.

Кто-то в пейсбучике писал, что при установке и апдейте медок требовал отключать антивирусы и всякие другие функции защиты. Сам не знаю - за что купил, за то - продал.

Ну а если вспомнить, что нтелект-сервис это российская компания, то все становится еще интереснее.

Ух ты, я не знал. Я думал это какая-то собственная разработка налоговой.

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- Pavlo Narozhnyy +380 95 276 31 46 https://www.techniqtrading.com/

On Tue, Jul 04, 2017 at 12:13:36PM +0300, Vladimir Sharun wrote:

Привет,

Это гипотезы, которые объясняют позицию Медка (у нас не было этого обновления на серверах) и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с валидного ip.

ИМХО, если они признают, что это с их сервера скачали - им крышка и решетка. А если к ним ничто в гости не зашел, типа СБУ/киберполиция - то за что там зарплату платят - вызывает вопросы.

Этот хак полезен тем, что он вскрывает горы проблем в безопасности на всех уровнях, начиная с L2/L3 и заканчивая уровнем приложения. Да, распространение апдейтов через третьих лиц по какой-то сложной процедуре сделало бы А если не общаться с налоговой - так ваще в принципе невозможно было бы в такой ситуации оказаться.

практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не получится выложить на него подписанные  ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это проверяет.

Почему никто не рассматривает инсайдера в медоке ? Это первое, что приходит в голову.

В то же самое время методы - wccp/перехват ip  с последующим селективным  проксированием на оригинал (или без него) легкодостижимы при наличии доступа к сетевому оборудованию  оператора.   Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ? Без инсайдера у оператора - это трындец сложно. Малейший факап - и спалились.

В случае, если вышеописанное правда и сеть оператора Медка проблемная, то проблема не устранена до сих пор и хрен его знает, что еще могло быть перехвачено/перенаправлено даже сейчас.

Вот пока писал, придумал, что можно через создание ecmp group сделать такой же полу-перехват - работает по-моему вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так же, а трафик будет per session делиться между неск.  серверами. 

И это я, без сетевого образования. Представляю что может нафантазировать профильный специалист.

Нафантазировать может моё чадо в свои 7, но реально ломать сетевую инфраструктуру, да без инсайдера - очень рискованно. Даже обладая багажом знаний. -- Best regards, Paul Arakelyan.

Привет, Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать. Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ? Фактчекинг по "вишенкам на тортиках": Неподдерживаемая версия freebsd: https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/versi... Что до proftpd: https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html Среди светящихся в мир процессов remote code execution не наблюдается. 4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua@gmail.com >: Версия с "хакнутым каталистом" представляется нежизнеспособной, потому что нужно было хакнуть тысячи разнообразных устройств (и не только каталистов, что предполагает наличие неизвестного remote exploit на оборудовании всех вендоров; кроме того, все эти устройства должны поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы добиться полученного эффекта. Версия с route hijack должна подтверждаться наличием записей /32 в BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько мне известно, до сих существует практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так. Наиболее вероятным объяснением я всё-таки считал бы это: https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой закончилась в 2013 году (и многие новые порты банально не собираются). Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года, и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему." On 7/3/17 8:16 PM, Vladimir Sharun wrote: Привет, Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла. 11 лет назад я сталкивался именно с таким сценарием. 3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >: Hi! Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере? Или это новости с самого оригинального сервера "тут ничено не было"?  На BGPlay левые маршруты видны? -- Mike On 3 Jul 2017 18:52, "Vladimir Sharun" wrote: Всем привет, Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы. Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip. Вспомнилось кино: https://youtu.be/WEYOJ3d8EnU?t=1h2m24s 27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >: хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком. _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Привет, Тот факт, что вирус распространился так широко, означает, что, по твоей версии, подобная процедура должна была быть проведена в каждой пострадавшей локальной сети. Что, по моем мнению, невероятно. Опять про "весь мир Не надо хакать весь мир. Достаточно это сделать в сети, >> где находятся сервера Медка << и никто этого не увидит. Я сам пользуюсь этой фичей: во внутренней сети делаю статик на хост, который мне надо чтобы он был там, где мне надо, а не там, где его /24 и дистрибьючу этот статик. А был ли медок хакнут или это умышленное действие - вопрос, в контексте этого тредика, примерно последний. Я бы сюда еще добавил третий пункт: >> медок хакнут, умышленное, подстава << 4 липня 2017, 12:51:52, від "Volodymyr Litovka" < doka.ua@gmail.com >: On 7/4/17 12:44 PM, Vladimir Sharun wrote: Привет, Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать. Тот факт, что вирус распространился так широко, означает, что, по твоей версии, подобная процедура должна была быть проведена в каждой пострадавшей локальной сети. Что, по моем мнению, невероятно. И даже если версия Саморукова не подтверждается фактчекингом, то я всё равно более склонен верить "медок" - такие масштабы поражения подтверждает только такая версия. А был ли медок хакнут или это умышленное действие - вопрос, в контексте этого тредика, примерно последний. Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ? Фактчекинг по "вишенкам на тортиках": Неподдерживаемая версия freebsd: https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/versi... Что до proftpd: https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html Среди светящихся в мир процессов remote code execution не наблюдается. 4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua@gmail.com >: Версия с "хакнутым каталистом" представляется нежизнеспособной, потому что нужно было хакнуть тысячи разнообразных устройств (и не только каталистов, что предполагает наличие неизвестного remote exploit на оборудовании всех вендоров; кроме того, все эти устройства должны поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы добиться полученного эффекта. Версия с route hijack должна подтверждаться наличием записей /32 в BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько мне известно, до сих существует практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так. Наиболее вероятным объяснением я всё-таки считал бы это: https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой закончилась в 2013 году (и многие новые порты банально не собираются). Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года, и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему." On 7/3/17 8:16 PM, Vladimir Sharun wrote: Привет, Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла. 11 лет назад я сталкивался именно с таким сценарием. 3 липня 2017, 20:09:06, від "Mike Petrusha" < mp@disan.net >: Hi! Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере? Или это новости с самого оригинального сервера "тут ничено не было"?  На BGPlay левые маршруты видны? -- Mike On 3 Jul 2017 18:52, "Vladimir Sharun" wrote: Всем привет, Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы. Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip. Вспомнилось кино: https://youtu.be/WEYOJ3d8EnU?t=1h2m24s 27 червня 2017, 15:05:02, від "Oles Girniak" < oles@uar.net >: хто що знає про нову хвилю "атаки crypto-virus" на Windows? Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком. _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog _______________________________________________ uanog mailing list uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison