[uanog] New virus attack

Paul Arakelyan unisol at cs.kiev.ua
Tue Jul 4 17:06:27 EEST 2017 

On Tue, Jul 04, 2017 at 12:13:36PM +0300, Vladimir Sharun wrote:
> Привет, 
> 
> 
> 
> Это гипотезы, которые объясняют позицию Медка (у нас не было этого обновления на серверах) 
> и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с валидного ip. 

ИМХО, если они признают, что это с их сервера скачали - им крышка и решетка.
А если к ним ничто в гости не зашел, типа СБУ/киберполиция - то за что там
зарплату платят - вызывает вопросы.

> Этот хак полезен тем, что он вскрывает горы проблем в безопасности на всех уровнях, начиная с L2/L3 и заканчивая 
> уровнем приложения. Да, распространение апдейтов через третьих лиц по какой-то сложной процедуре сделало бы 
А если не общаться с налоговой - так ваще в принципе невозможно было бы в
такой ситуации оказаться.

> практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не получится выложить на него подписанные  
> ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это проверяет. 

Почему никто не рассматривает инсайдера в медоке ? Это первое, что приходит
в голову.

> В то же самое время методы - wccp/перехват ip  с последующим селективным  проксированием на оригинал (или без него) 
> легкодостижимы при наличии доступа к сетевому оборудованию  оператора. 
>   
> Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ? 
Без инсайдера у оператора - это трындец сложно. Малейший факап - и спалились.

> В случае, если вышеописанное правда и сеть оператора Медка проблемная, то проблема не устранена до сих пор и хрен 
> его знает, что еще могло быть перехвачено/перенаправлено даже сейчас. 
> 
> 
> Вот пока писал, придумал, что можно через создание ecmp group сделать такой же полу-перехват - работает по-моему 
> вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так же, а трафик будет per session делиться между неск.  
> серверами.  
> 
> 
> И это я, без сетевого образования. Представляю что может нафантазировать профильный специалист. 

Нафантазировать может моё чадо в свои 7, но реально ломать сетевую инфраструктуру,
да без инсайдера - очень рискованно. Даже обладая багажом знаний.



-- 
Best regards,
Paul Arakelyan.

More information about the uanog mailing list