[uanog] New virus attack

[Volodymyr Litovka]

On 7/4/17 12:44 PM, Vladimir Sharun wrote:
> Привет,
>
> Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не 
> попадёт во внешнюю выдачу потому что по BGP только то, что в рамках 
> BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от 
> внешней. Потом нет необходимости хакать.
Тот факт, что вирус распространился так широко, означает, что, по твоей 
версии, подобная процедура должна была быть проведена в каждой 
пострадавшей локальной сети. Что, по моем мнению, невероятно.

И даже если версия Саморукова не подтверждается фактчекингом, то я всё 
равно более склонен верить "медок" - такие масштабы поражения 
подтверждает только такая версия. А был ли медок хакнут или это 
умышленное действие - вопрос, в контексте этого тредика, примерно последний.

> Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP 
> был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от 
> мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. 
> Еще и *редистрибьютили маршрут на хост* по всей сети, чтобы иметь 
> возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году 
> (heartbleed) пароли начали отличаться от паролей 2017 года ?
>
> Фактчекинг по "вишенкам на тортиках":
>
> Неподдерживаемая версия freebsd:
> https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html 
>
>
> Что до proftpd:
> https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html
>
> Среди светящихся в мир процессов remote code execution не наблюдается.
>
> /4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua at gmail.com 
> <mailto:doka.ua at gmail.com> >: /
>
>     Версия с "хакнутым каталистом" представляется нежизнеспособной,
>     потому что нужно было хакнуть тысячи разнообразных устройств (и не
>     только каталистов, что предполагает наличие неизвестного remote
>     exploit на оборудовании всех вендоров; кроме того, все эти
>     устройства должны поддерживать кинда WCCP, что тоже не
>     представляется вероятным), чтобы добиться полученного эффекта.
>     Версия с route hijack должна подтверждаться наличием записей /32 в
>     BGP-таблицах и тоже маловероятна, потому что в рамках UAIX,
>     насколько мне известно, до сих существует практика фильтрации
>     маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не
>     впишешь просто так.
>     Наиболее вероятным объяснением я всё-таки считал бы это:
>     https://www.facebook.com/alex.samorukov/posts/1478768522180207--
>     "В связи с тем, что многие указали, что petya пришел с апдейтом
>     M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов
>     сделан. Простейший скан (92.60.184.55) показал, что на сервере
>     стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой
>     закончилась в 2013 году (и многие новые порты банально не
>     собираются). Кроме того, вишенкой на торте, там стоит ProFTPD
>     1.3.4c. Proftpd мало того, что дыряв как решето, так еще и
>     доисторической версии, все того же 2013 года, и скорее всего
>     контроль над сервером и был получен через него. Надеюсь, это
>     информация будет полезна тем, кто исследует проблему."
>
>     On 7/3/17 8:16 PM, Vladimir Sharun wrote:
>>     Привет,
>>
>>     Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на
>>     (хакнутом) каталисте. Получив доступ на более-менее умный свитч с
>>     L3 таких делов можно натворить, о-ла-ла.
>>
>>     11 лет назад я сталкивался именно с таким сценарием.
>>
>>
>>
>>     /3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net
>>     <mailto:mp at disan.net> >: /
>>
>>         Hi!
>>
>>         Из нутри чего этот инсайд? Если от пострадавших, то откуда
>>         они знают, что было или не было на оригинальном сервере?
>>
>>         Или это новости с самого оригинального сервера "тут ничено не
>>         было"?
>>
>>         На BGPlay левые маршруты видны?
>>
>>         --
>>         Mike
>>
>>
>>         On 3 Jul 2017 18:52, "Vladimir Sharun"
>>         <vladimir.sharun at ukr.net <mailto:vladimir.sharun at ukr.net>> wrote:
>>
>>             Всем привет,
>>
>>             Небольшой инсайд. Внешне произошедшее напоминает route
>>             hijack или WCCP. Т.е. скомуниздили роут на хост или
>>             перехватили на свою проксю вызовы.
>>             Пострадавшие в логах проксей видят ip upd.me-doc.com.ua
>>             <http://upd.me-doc.com.ua> честный (какой и должен быть)
>>             и в логах же payload (330k), которого не было на
>>             оригинальном сервере апдейта с этим ip.
>>
>>             Вспомнилось кино:
>>             https://youtu.be/WEYOJ3d8EnU?t=1h2m24s
>>             <https://youtu.be/WEYOJ3d8EnU?t=1h2m24s>
>>
>>
>>
>>             /27 червня 2017, 15:05:02, від "Oles Girniak" <
>>             oles at uar.net <mailto:oles at uar.net> >: /
>>
>>                 хто що знає про нову хвилю "атаки crypto-virus" на Windows?
>>                 Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>>
>>
>>             _______________________________________________
>>             uanog mailing list
>>             uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>>             http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>             <http://mailman.uanog.kiev.ua/mailman/listinfo/uanog>
>>
>>
>>
>>     _______________________________________________
>>     uanog mailing list
>>     uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>>     http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>     -- 
>     Volodymyr Litovka
>        "Vision without Execution is Hallucination." -- Thomas Edison
>

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170704/e55f529e/attachment-0001.html>