[uanog] New virus attack

[Volodymyr Litovka]

Версия с "хакнутым каталистом" представляется нежизнеспособной, потому 
что нужно было хакнуть тысячи разнообразных устройств (и не только 
каталистов, что предполагает наличие неизвестного remote exploit на 
оборудовании всех вендоров; кроме того, все эти устройства должны 
поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы 
добиться полученного эффекта.

Версия с route hijack должна подтверждаться наличием записей /32 в 
BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько 
мне известно, до сих существует практика фильтрации маршрутов в 
соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так.

Наиболее вероятным объяснением я всё-таки считал бы это: 
https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В 
связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я 
решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший 
скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, 
если по openssh), поддержка которой закончилась в 2013 году (и многие 
новые порты банально не собираются). Кроме того, вишенкой на торте, там 
стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и 
доисторической версии, все того же 2013 года, и скорее всего контроль 
над сервером и был получен через него. Надеюсь, это информация будет 
полезна тем, кто исследует проблему."


On 7/3/17 8:16 PM, Vladimir Sharun wrote:
> Привет,
>
> Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на 
> (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 
> таких делов можно натворить, о-ла-ла.
>
> 11 лет назад я сталкивался именно с таким сценарием.
>
>
>
> /3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net 
> <mailto:mp at disan.net> >: /
>
>     Hi!
>
>     Из нутри чего этот инсайд? Если от пострадавших, то откуда они
>     знают, что было или не было на оригинальном сервере?
>
>     Или это новости с самого оригинального сервера "тут ничено не было"?
>
>     На BGPlay левые маршруты видны?
>
>     --
>     Mike
>
>
>     On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun at ukr.net
>     <mailto:vladimir.sharun at ukr.net>> wrote:
>
>         Всем привет,
>
>         Небольшой инсайд. Внешне произошедшее напоминает route hijack
>         или WCCP. Т.е. скомуниздили роут на хост или перехватили на
>         свою проксю вызовы.
>         Пострадавшие в логах проксей видят ip upd.me-doc.com.ua
>         <http://upd.me-doc.com.ua> честный (какой и должен быть) и в
>         логах же payload (330k), которого не было на оригинальном
>         сервере апдейта с этим ip.
>
>         Вспомнилось кино:
>         https://youtu.be/WEYOJ3d8EnU?t=1h2m24s
>         <https://youtu.be/WEYOJ3d8EnU?t=1h2m24s>
>
>
>
>         /27 червня 2017, 15:05:02, від "Oles Girniak" < oles at uar.net
>         <mailto:oles at uar.net> >: /
>
>             хто що знає про нову хвилю "атаки crypto-virus" на Windows?
>             Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>
>
>         _______________________________________________
>         uanog mailing list
>         uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>         http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>         <http://mailman.uanog.kiev.ua/mailman/listinfo/uanog>
>
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170704/6f608e52/attachment-0001.html>