[uanog] New virus attack
Volodymyr Litovka
doka.ua at gmail.com
Tue Jul 4 12:51:47 EEST 2017
On 7/4/17 12:44 PM, Vladimir Sharun wrote:
> Привет,
>
> Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не
> попадёт во внешнюю выдачу потому что по BGP только то, что в рамках
> BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от
> внешней. Потом нет необходимости хакать.
Тот факт, что вирус распространился так широко, означает, что, по твоей
версии, подобная процедура должна была быть проведена в каждой
пострадавшей локальной сети. Что, по моем мнению, невероятно.
И даже если версия Саморукова не подтверждается фактчекингом, то я всё
равно более склонен верить "медок" - такие масштабы поражения
подтверждает только такая версия. А был ли медок хакнут или это
умышленное действие - вопрос, в контексте этого тредика, примерно последний.
> Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP
> был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от
> мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль.
> Еще и *редистрибьютили маршрут на хост* по всей сети, чтобы иметь
> возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году
> (heartbleed) пароли начали отличаться от паролей 2017 года ?
>
> Фактчекинг по "вишенкам на тортиках":
>
> Неподдерживаемая версия freebsd:
> https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html
>
>
> Что до proftpd:
> https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html
>
> Среди светящихся в мир процессов remote code execution не наблюдается.
>
> /4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua at gmail.com
> <mailto:doka.ua at gmail.com> >: /
>
> Версия с "хакнутым каталистом" представляется нежизнеспособной,
> потому что нужно было хакнуть тысячи разнообразных устройств (и не
> только каталистов, что предполагает наличие неизвестного remote
> exploit на оборудовании всех вендоров; кроме того, все эти
> устройства должны поддерживать кинда WCCP, что тоже не
> представляется вероятным), чтобы добиться полученного эффекта.
> Версия с route hijack должна подтверждаться наличием записей /32 в
> BGP-таблицах и тоже маловероятна, потому что в рамках UAIX,
> насколько мне известно, до сих существует практика фильтрации
> маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не
> впишешь просто так.
> Наиболее вероятным объяснением я всё-таки считал бы это:
> https://www.facebook.com/alex.samorukov/posts/1478768522180207--
> "В связи с тем, что многие указали, что petya пришел с апдейтом
> M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов
> сделан. Простейший скан (92.60.184.55) показал, что на сервере
> стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой
> закончилась в 2013 году (и многие новые порты банально не
> собираются). Кроме того, вишенкой на торте, там стоит ProFTPD
> 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и
> доисторической версии, все того же 2013 года, и скорее всего
> контроль над сервером и был получен через него. Надеюсь, это
> информация будет полезна тем, кто исследует проблему."
>
> On 7/3/17 8:16 PM, Vladimir Sharun wrote:
>> Привет,
>>
>> Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на
>> (хакнутом) каталисте. Получив доступ на более-менее умный свитч с
>> L3 таких делов можно натворить, о-ла-ла.
>>
>> 11 лет назад я сталкивался именно с таким сценарием.
>>
>>
>>
>> /3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net
>> <mailto:mp at disan.net> >: /
>>
>> Hi!
>>
>> Из нутри чего этот инсайд? Если от пострадавших, то откуда
>> они знают, что было или не было на оригинальном сервере?
>>
>> Или это новости с самого оригинального сервера "тут ничено не
>> было"?
>>
>> На BGPlay левые маршруты видны?
>>
>> --
>> Mike
>>
>>
>> On 3 Jul 2017 18:52, "Vladimir Sharun"
>> <vladimir.sharun at ukr.net <mailto:vladimir.sharun at ukr.net>> wrote:
>>
>> Всем привет,
>>
>> Небольшой инсайд. Внешне произошедшее напоминает route
>> hijack или WCCP. Т.е. скомуниздили роут на хост или
>> перехватили на свою проксю вызовы.
>> Пострадавшие в логах проксей видят ip upd.me-doc.com.ua
>> <http://upd.me-doc.com.ua> честный (какой и должен быть)
>> и в логах же payload (330k), которого не было на
>> оригинальном сервере апдейта с этим ip.
>>
>> Вспомнилось кино:
>> https://youtu.be/WEYOJ3d8EnU?t=1h2m24s
>> <https://youtu.be/WEYOJ3d8EnU?t=1h2m24s>
>>
>>
>>
>> /27 червня 2017, 15:05:02, від "Oles Girniak" <
>> oles at uar.net <mailto:oles at uar.net> >: /
>>
>> хто що знає про нову хвилю "атаки crypto-virus" на Windows?
>> Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>>
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>> <http://mailman.uanog.kiev.ua/mailman/listinfo/uanog>
>>
>>
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
> --
> Volodymyr Litovka
> "Vision without Execution is Hallucination." -- Thomas Edison
>
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170704/e55f529e/attachment-0001.html>
More information about the uanog
mailing list