[uanog] New virus attack

Thu Jul 6 11:28:05 EEST 2017

Hi!

И то, и другое - догадки.
За 96 часов к приезду специалистов можно было каких хочешь логов написать.

На http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
тоже заметили, что "the actor in question burned a significant
capability in this attack.  They have now compromised both their
backdoor in the M.E.Doc software and their ability to manipulate the
server configuration in the update server. In short, the actor has
given up the ability to deliver arbitrary code to the 80% of UA
businesses that use M.E.Doc as their accounting software..." Это
выглядит как баг со стороны вирусописателей.

Про эту же статью - непонятно, откуда известно, что "... that the
server had been wiped the same day at 7:46 PM UTC... using dd
if=/dev/zero". Где это было найдено? И если хостер поделился с ними
этим, почему не поделился дальнейшей цепочкой?

Потом, я так понимаю, что нашли на сайте web-shell модуль, но в 27-го
заходили не через него, а через дырку в ftp-чём-то и то не с первого
раза. И это при том, что доступ ко всей системе был начиная с апреля.

Т.е. с апреля кто-то регулярно получал исходники, элегантно вписывал
туда backdoor, раздавал эту версию всем (Тоже через L7 hijack, или
просто подменяя бинарник на обычном сервере? Эти версии с backdoor
есть на серверах MeDoc? А код в исходниках?), а 27-го числа не мог
зайти нормально?

Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то.

--
Mike

> Я делал всё что мог на основании информации, которую мне давали. Выводы
> были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не
> выявлен
> и может находиться на сети, а не прямо на серверах. Также я оказался прав
> про перехват
> ip, только это не на L2/L3 было, а на L7 - запросы проксировались.
>