[uanog] New virus attack

Pavlo Narozhnyy paveln at gmail.com
Tue Jul 4 12:25:59 EEST 2017 

а всем из-за того, что рукожопы из медка :

а) не верифицируют апдейты тем же PGP;
б) запускают софт от админа.

Ну а если вспомнить, что нтелект-сервис это российская компания, то
все становится еще интереснее.



2017-07-04 12:13 GMT+03:00 Vladimir Sharun <vladimir.sharun at ukr.net>:
> Привет,
>
> Это гипотезы, которые объясняют позицию Медка (у нас не было этого
> обновления на серверах)
> и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с
> валидного ip.
>
> Учитывая, что логи прокси пострадавшего third-party офиса у меня есть на
> руках и они, мягко говоря, удивительные.
> Похоже что тот, кто делал payload хорошо под микроскопом рассмотрел дыру в
> Медке, которая позволяет
> запустить нужный payload через дыру.
>
> Этот хак полезен тем, что он вскрывает горы проблем в безопасности на всех
> уровнях, начиная с L2/L3 и заканчивая
> уровнем приложения. Да, распространение апдейтов через третьих лиц по
> какой-то сложной процедуре сделало бы
> практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не
> получится выложить на него подписанные
> ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это
> проверяет.
>
> В то же самое время методы - wccp/перехват ip  с последующим селективным
> проксированием на оригинал (или без него)
> легкодостижимы при наличии доступа к сетевому оборудованию  оператора.
>
> Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ?
>
> В случае, если вышеописанное правда и сеть оператора Медка проблемная, то
> проблема не устранена до сих пор и хрен
> его знает, что еще могло быть перехвачено/перенаправлено даже сейчас.
>
> Вот пока писал, придумал, что можно через создание ecmp group сделать такой
> же полу-перехват - работает по-моему
> вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так
> же, а трафик будет per session делиться между неск.
> серверами.
>
> И это я, без сетевого образования. Представляю что может нафантазировать
> профильный специалист.
>
> 4 липня 2017, 11:26:34, від "Mike Petrusha" < mp at disan.net >:
>
> И где расположен такой каталист, через к-рый все скачали себе вирус?
> В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус
> в обновление, кажется гораздо более правдоподобным.
>
> --
> Mike
>
>
> 2017-07-03 19:16 GMT+02:00 Vladimir Sharun <vladimir.sharun at ukr.net>:
>> Привет,
>>
>> Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на
>> (хакнутом)
>> каталисте. Получив доступ на более-менее умный свитч с L3 таких делов
>> можно
>> натворить, о-ла-ла.
>>
>> 11 лет назад я сталкивался именно с таким сценарием.
>>
>>
>>
>> 3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net >:
>>
>> Hi!
>>
>> Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что
>> было или не было на оригинальном сервере?
>>
>> Или это новости с самого оригинального сервера "тут ничено не было"?
>>
>> На BGPlay левые маршруты видны?
>>
>> --
>> Mike
>>
>>
>> On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun at ukr.net> wrote:
>>
>> Всем привет,
>>
>> Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP.
>> Т.е.
>> скомуниздили роут на хост или перехватили на свою проксю вызовы.
>> Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и
>> должен быть) и в логах же payload (330k), которого не было на оригинальном
>> сервере апдейта с этим ip.
>>
>> Вспомнилось кино:
>> https://youtu.be/WEYOJ3d8EnU?t=1h2m24s
>>
>>
>>
>> 27 червня 2017, 15:05:02, від "Oles Girniak" < oles at uar.net >:
>>
>> хто що знає про нову хвилю "атаки crypto-virus" на Windows?
>> Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>>
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog



-- 

Pavlo Narozhnyy
+380 95 276 31 46
https://www.techniqtrading.com/

More information about the uanog mailing list