[uanog] New virus attack

Vladimir Sharun vladimir.sharun at ukr.net
Tue Jul 4 12:56:11 EEST 2017 

Привет, 



Тот факт, что вирус распространился так широко, означает, что, по
    твоей версии, подобная процедура должна была быть проведена в каждой
    пострадавшей локальной сети. Что, по моем мнению, невероятно. 

Опять про "весь мир Не надо хакать весь мир. Достаточно это сделать в сети, >> где находятся сервера Медка << и никто этого не увидит. 
Я сам пользуюсь этой фичей: во внутренней сети делаю статик на хост, который мне надо чтобы он был там, где мне надо, а не там, где его /24 и дистрибьючу этот статик. 



А был ли медок хакнут или это
    умышленное действие - вопрос, в контексте этого тредика, примерно
    последний. 


Я бы сюда еще добавил третий пункт: >> медок хакнут, умышленное, подстава << 







4 липня 2017, 12:51:52, від "Volodymyr Litovka" < doka.ua at gmail.com >: 



On 7/4/17 12:44 PM, Vladimir Sharun wrote:
Привет, 



Почемы вы про BGP говорите ? Забыли про redistribute static ? Он не попадёт во внешнюю выдачу потому что по BGP только то, что в рамках BGP, а внутренняя маршрутизация может быть (и должна кмк) отделена от внешней. Потом нет необходимости хакать.
Тот факт, что вирус распространился так широко, означает, что, по твоей версии, подобная процедура должна была быть проведена в каждой пострадавшей локальной сети. Что, по моем мнению, невероятно.

И даже если версия Саморукова не подтверждается фактчекингом, то я всё равно более склонен верить "медок" - такие масштабы поражения подтверждает только такая версия. А был ли медок хакнут или это умышленное действие - вопрос, в контексте этого тредика, примерно последний.

Я 11 лет назад имел дело с похожей ситуацией, когда на удалённом POP был перехвачен (тогда еще) telnet (login-pass-enable), POP отрезали от мира, сделали "свою" разрешенную сеть и взяли его (POP) под контроль. Еще и редистрибьютили маршрут на хост по всей сети, чтобы иметь возможность заходить на все POP'ы. Или есть иллюзии, что в 2014м году (heartbleed) пароли начали отличаться от паролей 2017 года ?


Фактчекинг по "вишенкам на тортиках":


Неподдерживаемая версия freebsd:
https://www.cvedetails.com/vulnerability-list/vendor_id-6/product_id-7/version_id-105406/Freebsd-Freebsd-8.1.html 


Что до proftpd:
https://www.cvedetails.com/version/140471/Proftpd-Proftpd-1.3.4.html 


Среди светящихся в мир процессов remote code execution не наблюдается. 


4 липня 2017, 12:25:09, від "Volodymyr Litovka" < doka.ua at gmail.com >: 


Версия с "хакнутым каталистом" представляется нежизнеспособной, потому что нужно было хакнуть тысячи разнообразных устройств (и не только каталистов, что предполагает наличие неизвестного remote exploit на оборудовании всех вендоров; кроме того, все эти устройства должны поддерживать кинда WCCP, что тоже не представляется вероятным), чтобы добиться полученного эффекта.
Версия с route hijack должна подтверждаться наличием записей /32 в BGP-таблицах и тоже маловероятна, потому что в рамках UAIX, насколько мне известно, до сих существует практика фильтрации маршрутов в соответствии с RIPEdb и (а) чужой (б) /32 в RIPEdb не впишешь просто так.
Наиболее вероятным объяснением я всё-таки считал бы это: https://www.facebook.com/alex.samorukov/posts/1478768522180207-- "В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан. Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7 (или 8.1, если по openssh), поддержка которой закончилась в 2013 году (и многие новые порты банально не собираются). Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года, и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему."

On 7/3/17 8:16 PM, Vladimir Sharun wrote:
Привет, 



Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом) каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно натворить, о-ла-ла.


11 лет назад я сталкивался именно с таким сценарием.






3 липня 2017, 20:09:06, від "Mike Petrusha" < mp at disan.net >: 


Hi!

Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что было или не было на оригинальном сервере?


Или это новости с самого оригинального сервера "тут ничено не было"? 


На BGPlay левые маршруты видны?

--
Mike



On 3 Jul 2017 18:52, "Vladimir Sharun" <vladimir.sharun at ukr.net> wrote:
Всем привет, 



Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е. скомуниздили роут на хост или перехватили на свою проксю вызовы.
Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и должен быть) и в логах же payload (330k), которого не было на оригинальном сервере апдейта с этим ip.


Вспомнилось кино:
https://youtu.be/WEYOJ3d8EnU?t=1h2m24s 






27 червня 2017, 15:05:02, від "Oles Girniak" < oles at uar.net >: 


хто що знає про нову хвилю "атаки crypto-virus" на Windows?
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.




_______________________________________________
uanog mailing list
uanog at uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog







_______________________________________________
uanog mailing list
uanog at uanog.kiev.ua
http://mailman.uanog.kiev.ua/mailman/listinfo/uanog 
-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison

-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170704/1776fd9c/attachment-0001.html>

More information about the uanog mailing list